Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
RSS
[ Закрыто ] Лицензия на ТЗКИ для оператора дата-центра, Нужна ли компании - владельцу дата-центра лицензия на ТЗКИ?
Допустим, наша организация планирует создание своего дата центра, в котором, однако, будут обрабатываться данные других юридических лиц. Какие именно данные = сказать сложно, но, возможно что и персональные данные там будут. В юбом случае, на оператора ложится задача обеспечения их конфиденциальности. Защита конфиденциальной информации на договорной основе = необходимость лицензии на ТЗКИ. Так? Если так, то почему на сайтах компаний, предоставляющих услуги по хостингу или коллокейшену я не вижу лицензии по ТЗКИ? Но при этом они живут припеваючи и продолжают работать.
Цитата
Андрей пишет:
Допустим, наша организация планирует создание своего дата центра, в котором, однако, будут обрабатываться данные других юридических лиц. Какие именно данные = сказать сложно, но, возможно что и персональные данные там будут. В юбом случае, на оператора ложится задача обеспечения их конфиденциальности. Защита конфиденциальной информации на договорной основе = необходимость лицензии на ТЗКИ. Так? Если так, то почему на сайтах компаний, предоставляющих услуги по хостингу или коллокейшену я не вижу лицензии по ТЗКИ? Но при этом они живут припеваючи и продолжают работать.

Потому что защищать ПДн должен оператор а не хостер.
Цитата
Андрей С. пишет:
Потому что защищать ПДн должен оператор а не хостер.

При этом достаточно сложно официальным образом разместить на таком хостинге конфиденциальную информацию.
Цитата
Алексей пишет:
Цитата
Андрей С. пишет:

Потому что защищать ПДн должен оператор а не хостер.



При этом достаточно сложно официальным образом разместить на таком хостинге конфиденциальную информацию.

ни какой сложности нет, вы берете в аренду аппаратную часть и каналы, а как вы их будете защищать это дело оператора

т.е. хостингу могут сказать закрыть тот или иной ресурс по решению суда, например за неисполнение 152 ФЗ.
Но хостинг не несет ответственности за то что оператор не защищает информацию на своих ресурсах.
Т.е. хостер ВООБЩЕ не обеспечивает никакого уровня конфиденциальности ресурсов расположенных в дата-центре? Мне кажется установкой МЭ на границах с провайдерами он уже обеспечивает безопасность своей и чужой конфиденциальной (не только ПДн) информации (которая в любом случае будет обрабатываться внутри дата-центра, например те же аутентификационные данные клиентов). Где я не прав? Или считается, что можно избежать вопросов с конфиденциальной информацией на уровне SLA, в котором будет прописано "не хранить никакой конфиденциальной информации, защищаемой в соответствии с законодательством РФ"?
лицензия однозначно понадобится.
Доброго времени суток.
Подскажите пожалуйста, возможно ли произвести аттестацию собственного объекта информатизации или же необходимо привлекать стороннюю организацию? Лицензия на техническую защиту конфиденциальной информации в компании имеется.
Если есть 2(!) обученных специалиста то можно самим.
Если у вас криптография есть, то читайте документы ФСБ и ФСТЭК.
Цитата
Карбер пишет:
Если есть 2(!) обученных специалиста то можно самим.
Аттестацию проводит Орган по аттестации(список на сайте ФСТЭК).
Извиняюсь. Не правильно прочитал. Сергей С. прав.
Цитата
Сергей С. пишет:
Аттестацию проводит Орган по аттестации(список на сайте ФСТЭК).
Аттестат аккредитации органа по аттестации нужен для аттестации по гос тайне. Для аттестации по конфе достаточно лицензии на ТЗКИ.
Цитата
Юзверь пишет:



Цитата


Сергей С. пишет:
Аттестацию проводит Орган по аттестации(список на сайте ФСТЭК).
Аттестат аккредитации органа по аттестации нужен для аттестации по гос тайне. Для аттестации по конфе достаточно лицензии на ТЗКИ.
Вопрос стоял так: Сами себя можем аттестовать? ( лицензия на ТЗКИ имеется)
Цитата
Гость пишет:
Вопрос стоял так: Сами себя можем аттестовать? ( лицензия на ТЗКИ имеется)
Для аттестации ОИ по конфе - да. В случае сомнений или недоверия - напишите в ФСТЭК.
Положение по аттестации
1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

1.8. Аттестация проводится органом по аттестации в установленном настоящим Положением порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
Цитата
Юзверь пишет:



Цитата


Гость пишет:
Вопрос стоял так: Сами себя можем аттестовать? ( лицензия на ТЗКИ имеется)
Для аттестации ОИ по конфе - да. В случае сомнений или недоверия - напишите в ФСТЭК.
Спасибо за ответ
Цитата
Сергей С. пишет:
Положение по аттестации
1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

1.8. Аттестация проводится органом по аттестации в установленном настоящим Положением порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
Знаком с этим положеним), но на мой взгляд он явноне отвечает на мой вопрос, вот и отписался на форуме дабы уточнить его)
Куда уж явнее п.1.8
Еще инетерсный момент В положении об аттестации сказано, что она носит рекомендательный характер для КИ, но в СТР-к (который носит обязательный характер для гос учреждений) имеется пункт:На стадии ввода в действие объекта информатизации и СЗИ осуществляются:
• опытная эксплуатация средств защиты информации в комплексе с другими техническими и программ¬ными средствами в целях проверки их работоспособности в составе объекта информатиза¬ции и отработки технологического процесса обработки (передачи) информации;
• приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
аттестация объекта информатизации по требованиям безопасности информации .
Я искренне не понимаю, почему организация, имеющая в наличии лицензию на ТЗКИ не может провести работы по аттестации собственных информационных систем по мнению Сергея С. Наличие лицензии дает право на проведение работ по защите конфиденциальной информации, а уж кого - сторонних заказчиков или самого себя нет особой равзницы
Вы можете провести работы, а вот аттестат вам выдаст специальный орган после проверки соответствия требованиям, в этом весь смысл - внешний аудит. Вы можете учить ребенка дома, а аттестат об образовании выдаст школа после проведения ЕГЭ.
Страницы: 1 2 След.
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)