Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 6
RSS
[ Закрыто ] Получение лицензий ФСТЭК на разработку СЗКИ и на ТЗКИ с нуля, Алгоритм и тонкости.
Анна, спасибо, я уже примерно разобралась.
Я имела ввиду в заявке на лицензию надо перечень составить разных имеющихся средств и заполнить соответствующие таблички.
Я отнесла Ауру к СЗИ, антивирус, ОС, Офис, Диа - к просто программам для ЭВМ, остальные (ревизоры, фикс, терьер) - к средствам контроля защищенности.
Народ, подскажите!

Если в лицензии есть право на аттестацию, то понятно, результатом работы является выдача Аттестата соответствия.
А если нет? Если на этот пункт не получали лицуху? Какая "бумажка будет результатом работы? Как её назвать?
И ещё вопрос по ответственности фирмы в случае выдачи вот такой вот бумажки!
Цитата
Настя пишет:
Как её назвать?
Акт соответствия, Заключение о соответствии. Ответственности за что?
Цитата
Настя пишет:
А если нет? Если на этот пункт не получали лицуху? Какая "бумажка будет результатом работы? Как её назвать?
И ещё вопрос по ответственности фирмы в случае выдачи вот такой вот бумажки!

В соответствии с ФЗ "О техническом регулировании" формами оценки соответствия явл:
- испытания;
- регистрация;
- приемка и ввод в эксплуатацию;
-........
и другие.

Так что вполне можно назвать результат вашей работы "Акт испытаний" или "Акт приемки и ввода в эккспл.".
О, спасибо! Отличные варианты!


Цитата
Сергей С. пишет:
Ответственности за что?
За свою работу. Ну вот например в Положении о государственном лицензировании деятельности в области защиты информации 1994 года есть пункт

2.4.2. Лицензиаты несут юридическую и финансовую ответственность за полноту и качество выполнения работ и обеспечение сохранности государственных и коммерческих секретов, доверенных им в ходе практической деятельности.

Меня интересует именно качество услуг и полнота.
Т.е. например Фирма-лицензиат провела аудит в Какой-то компании по приведению к нормам 152-ФЗ. Разработала документы, поставила СЗИ, установила и настроила. Выдала "Акт соответствия дурацкому Федеральному закону №152-ФЗ". (Опять же такой момент, что четких регламентов и алгоритмов такой деятельности нет! Регламентируется именно аттестация ОИ, и то эти документы устаревают. А проведение "контроля защищенности" нигде не описано, т.е. как хочу так и делаю..)
Затем в Какую-то компанию пришел РКН с проверкой соответствия обработки ПДн 152 ФЗ. Компания показывает проверяющим "Акт соответствия дурацкому Федеральному закону №152-ФЗ", выданный Фирмой-Лицензиатом. А проверяющие и говорят - так тут у вас, извините, ерунда написана, и сделано у вас в фирме всё неправильно, и нужных документов нету! (допустим, замечания справедливые)

Вот в такой ситуации, кто будет нести ответственность за нарушения? Оператор или лицензиат? И кто, за чей счет будет исправлять ошибки? При том, что у нас выдаётся не Аттестат соответствия, а "Какая-то бумажка", например "Акт соответствия"....
Прежде чем нанимать лицензиата, я бы поинтересовался у кого они уже проводили эти работы, связался с их бывшими заказчиками, были ли у них проверки регуляторов, каковы результаты. Или от обратного - взять план проверок за прошлый год, связаться с проверяемыми и найти тех, у кого лицензиат проводил работы и проверка без замечаний.
А ответственность несет оператор, лицензиат - только в случае, если это прописано в договоре.
Все правильно: надо эти моменты прописывать в договоре: гарантии, обязательства и т.д.
Причем прописывать очень грамотно. Нельзя в качестве убытков прописывать штрафные санкции регуляторов, это не убытки, см. ст. 15 ГК.
Исторический для меня момент!
Сегодня отправила пакет документов на Старую Басманную 17 :)
Буду ждать ответ с приглашением приехать за лицензией. Как придёт - отпишусь! :)
Настя, ни пуха!! :)
AlexG, ттт! :)
Цитата
Настя пишет:
Исторический для меня момент!
Сегодня отправила пакет документов на Старую Басманную 17 :)
Буду ждать ответ с приглашением приехать за лицензией. Как придёт - отпишусь! :)
Настя, в итоге с арендованным оборудованием идете, или купили(ПЭМИН, АКУСТИКА)?
Доброго дня!
Прошу вашего совета. Собираемся получать лицензию на ТЗКИ по видам работ из ПП №79:
б, г-1, е-4, е-5,е-6.
Из перечня КИО, необходимого для данных видов работ выбрали ряд оборудования и СЗИ.
Очень хотелось -бы услышать мнение специалистов и вашу оценку о целесообразности выбранного КИО для выбраннх видов работ (главный пункт, конечно-же г-1). Подходит-ли для них выбранное оборудование, реальная-ли указана стоимость, может вообще можно выбрать что-то другое, более дешевое/дорогое и универсальное...
Вообщем вот:
- селективный микровольтметр (из-за строго заданного в перечне диапозона измеряемых параметров пришлось остановиться на 2-ух приборах) - SMV-11 и SMV-8,5. стоимость 55 000 и 74 000 соответтвенно (с калибровкой).
- измерительная антенна - П6-120 - 55 000 руб.
- пробник напржения Я6-123 - 59 000 руб.
- осциллограф - С1-73 - 13025 руб. (с калибровкой).
- ревизор 1 и ревизор 2 - около 9 000 руб.
- сканер ВС (на 10 IP-адресов) - 15000 руб.

Цены взяты с сети google-ем.

Примечание - работы с волоконно-оптич. системами не планируются.
Цитата
Гость пишет:
Настя, в итоге с арендованным оборудованием идете, или купили(ПЭМИН, АКУСТИКА)?
Решили на ТЗ пока не получать, только программную (п.б, д123, е456)
Цитата
Гость пишет:
Собираемся получать лицензию на ТЗКИ по видам работ из ПП №79:
б, г-1, е-4, е-5,е-6.
советую вам с данным вопросом также обратиться на форум itsec.ru
В частности, в темы 1, 2, 3.
Приказ ФСТЭК России от 11.02.2013 №16 "О внесении изменений в Адм. регламент ФСТЭК по предоставлению государственной услуги по лицензированию деятельности по ТЗКИ", вступает в силу с 24.03.2013.

Предусматривает увеличение гос.пошлин за предоставление лицензии (6000р вместо 2600р), переоформление лицензии (600р вместо 200р), выдача дубликата (600р вместо 200р).

А на сайте ФСТЭКа эти цифры появились в начале года, именно они указаны в образцах платежных документов.

Мы заплатили пошлину в феврале, в размере 6000р.

Меня интересует вопрос: это нормально???
Подскажите пожалуйста, имеется система по обработке ПДн, в нее планируется внедрить средство идентификации с использованием электронной подписи, а также внедрение в нее электронной подписи документов, для реализации данных функций планируется использовать КриптоПро, на сколько понимаю необходимо получение следующих лицензий:
ФСТЭК:
- разработка и производство средств защиты конфиденциальной информации: защищенных программных (программно-технических) средств обработки информации;
- проектирование в защищенном исполнении: средств и систем информатизации.
ФСБ:
- разработка защищенных с использованием шифровальных (криптографических) средств информационных систем;
- производство защищенных с использованием шифровальных (криптографических) средств информационных систем;
- монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств;
- монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем;
- ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем;
- передача шифровальных (криптографических) средств;
- передача защищенных с использованием шифровальных (криптографических) средств информационных систем.

Вроде все учтены пункты, подскажите пожалуйста так или нет.
Изменено: J_ss - 26.03.2013 13:20:01
ИМХО лицензия ФСТЭК на ТЗКИ не нужна, только ФСБ
Цитата
Сергей С. пишет:
ИМХО лицензия ФСТЭК на ТЗКИ не нужна, только ФСБ
Сергей, подскажите пожалуйста почему не нужно лицензии ФСТЭК, я тоже мешкаюсь по поводу ее? С одной стороны будет внедряться крипто - значит только ФСБ, с др. - система будет обладать защищенными функциями. А что вы можете сказать про список на деятельность изложенный мной, в полном ли объеме он учтен?
Лицензия ФСТЭК нужна на ТЗКИ не криптографическими методами. По поводу списка - определитесь с видом деятельности, для которого вам нужна лицензия, потом посмотрите необходимые лицензионные требования в 313ПП и добавьте виды деятельности с такими же требованиями.
Страницы: Пред. 1 2 3 4 5 6
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)