Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 След.
Ответить
RSS
Помогите разобраться с юр. вопросом
Цитата
Gosha пишет:
К лицензионным требованиям
Так вы и почитайте лицензионные требования - 313ПП, это требования, которые предъявляются к соискателю лицензии: наличие помещений, аппаратуры и программ, квалифицированного персонала
Цитата
Сергей С. пишет:
лицензионные требования - 313ПП
ПП 79
Конечно 79, 313 - ФСБ, хотя тоже лицензионные требования.
Цитата
Gosha пишет:
Мелковато что-то вышло, продублирую: Статья 8 №99-ФЗ
4. К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, а также требования к конкретным видам и объему выпускаемой или планируемой к выпуску продукции.

К примеру при подключении ИСПДн к инету антивирус необходим всегда. Все бегом лицензии получать? Глупо. Понятно что не надо. Если это требование закона касается ВСЕХ.
Поддерживаю!)
Есть кто нибудь кого штрафанули за то что установил антивирусы без лицензии?
Какие нибудь примеры есть сообщите.
Лично в нет не смог найти
Цитата
Greg пишет:
Есть кто нибудь кого штрафанули за то что установил антивирусы без
лицензии?
КоАП: Статья 4.5. Давность привлечения к административной ответственности
1. Постановление по делу об административном правонарушении не может быть вынесено по истечении двух месяцев (по делу об административном правонарушении, рассматриваемому судьей, - по истечении трех месяцев) со дня совершения административного правонарушения

Не ленимся, пишем акты о вводе в эксплуатацию.
Если прибыль больше 250 000 рублей и без лицензии то это уголовщина-"Незаконное предпринимательство"
Цитата
Сергей С. пишет:
Цитата
Greg пишет:
Есть кто нибудь кого штрафанули за то что установил антивирусы без
лицензии?
КоАП: Статья 4.5. Давность привлечения к административной ответственности 1. Постановление по делу об административном правонарушении не может быть вынесено по истечении двух месяцев (по делу об административном правонарушении, рассматриваемому судьей, - по истечении трех месяцев) со дня совершения административного правонарушения
Не ленимся, пишем акты о вводе в эксплуатацию.
Смотря откуда считать. Вы же несертифицированным антивирем каждый день информацию защищаете, значит и нарушаете КоКП каждый день ;)
Цитата
Greg пишет:
Если прибыль больше 250 000 рублей и без лицензии то это уголовщина-"Незаконное предпринимательство"
Если прибыль получена за счет деятельности по защите информации.
Мы сейчас говорим о ТЗКИ для собственных нужд, поэтому УК неприменим. А считать срок с момента ввода в эксплуатацию. Эксплуатация СЗИ не относится к лицензируемым видам деятельности, только установка/настройка.
Цитата
Сергей С. пишет:
Лицензия нужна для установки любых СЗИ, а не только сертифицированных
Только если эти СЗИ указанны в документах, или планируется указать, что они используются для защиты ПДн. А если СЗИ не сертифицированы, то являются ли они тогда СЗИ?? . Без бумажек это просто ПО с определенными функциями, не СЗИ.
Цитата
Гость пишет:
А если СЗИ не сертифицированы, то являются ли они тогда СЗИ?? . Без
бумажек это просто ПО с определенными функциями, не СЗИ.
Конечно являются, антивирус без лицензии не перестает быть антивирусом, а МЭ - МЭ. И спользоваться они могут для защиты любой информации, и лицензия на их установку нужна.
При защите ПДн необходимо использовать только сертифицированные комплекты СЗИ-факт? Как подтвердить, что это продукт сертифицирован-формуляр, наклеечка, сертификат с "синей печатью"- это уже является сертифицированным средством защиты информации, лицензия по ТЗКИ нужна.
А если МСЭ ,например, не имеющей формуляра и т.п., установлен для защиты ПДн, то можно ставить и без лицензии ТЗКИ, но тогда требование по межсетевому экранированию выполнено не будет.
Антивирусы без сертификатов остаются антивирусами, но не являются СЗИ.
Получается, что: Я написал код антивируса, нарисовал лицензию, поставил печать свою на ней, установил его для защиты ПДн, указав в документах, что я использую этот антивирус для защиты ПДн. Приходит регулятор и смотрит мероприятия по защите, а я говорю- вот мой антивирус. Может мне тогда и генератор шума споять? или написать алгоритм шифрования и отправлять ПДн по нету.
Надеюсь что к 7-му декабря мы увидим более адекватную позицию регуляторов к этому вопросу, хотя там вряд-ли что-то поменяется
Цитата
Гость пишет:
При защите ПДн необходимо использовать только сертифицированные комплекты
СЗИ-факт?
Необходимо использовать СЗИ, прошедшие оценку соответствия.

Цитата
Гость пишет:
А если МСЭ ,например, не имеющей формуляра и т.п., установлен для защиты ПДн, то
можно ставить и без лицензии ТЗКИ, но тогда требование по межсетевому
экранированию выполнено не будет.
Почему не будет? А если не существует сертифицированных МЭ, удовлетворяющих требованиям оператора? Сертификат = бумажка, подтверждающая, например, что МЭ соответствует неким ТУ, уверяю вас, что продукты от топовых производителей не менее соответствуют. И кто мешает оценить соответствие в ходе проверки (госэкспертиза - одна из форм оценки соответствия).

Цитата
Гость пишет:
Антивирусы без сертификатов остаются антивирусами, но не являются СЗИ.
А чем они тогда являются? А если отвязаться от ПДн? Коммерческую тайну я могу защищать любыми СЗИ, так что, если нет сертификата они не СЗИ? Пдн всего лишь один из видов охраняемой законом информации, а лицензирование по ТЗКИ требуется для защиты любой информации, ПДн в частности.
Цитата
Сергей С. пишет:
Необходимо использовать СЗИ, прошедшие оценку соответствия.
Сейчас иду в РСП за ПП 330, но по оценке соответствия пока спорить не буду. Хотя это не больше лазейки-на деле это сертификация.

Цитата
Сергей С. пишет:
А если не существует сертифицированных МЭ, удовлетворяющих требованиям оператора?
Хоть один да найдется для каждого. И требования выдвигает не оператор, а законодательство.

Цитата
Сергей С. пишет:
что продукты от топовых производителей не менее соответствуют.
А чем "мой" антивирус отличается от антивируса от топового производителя. Конечно ВСЕМ, но получается отличие только в объемах производства? И если такие топовые производители выпускают такие хорошие продукцию-то почему бы им не пройти оценку соответствия на серию?
Цитата
Сергей С. пишет:
А если отвязаться от ПДн?
А если не отвязываться от ПДн? Свою коммерческую тайну можете защищать чем угодно.
Предлагаю закончить бесполезную дискуссию.
Я не против.
Кстати хотелось бы услышать Ваше мнение по поводу ПП1119, а именно по поводу последнего 17-го пункта. Операторам нужна лицензия ТЗКИ или нет?
Цитата
Гость пишет:
Операторам нужна лицензия ТЗКИ или нет?
Это уже 100500 раз обсуждалось на форуме! Воспользуйтесь поиском.
Единой точки зрения нет.
Цитата
Настя пишет:
Единой точки зрения нет.
А мне она и не нужна;)
Хотелось узнать мнение конкретного пользователя
ИМХО 17 пункт составлен крайне некорректно: "Контроль за выполнением настоящих требований..."
Если посмотреть на эти самые требования:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
д) назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе;
е) доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей;
ж) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
з) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Жирным выделил пункты, касающиеся ТЗКИ, для выполнения остальных пунктов лицензия не нужна ни оператору, ни привлекаемому лицу. А по этим пунктам (г,е) в 79ПП тоже не нашел таких видов деятельности, есть контроль защищенности конфиденциальной информации от утечки по техническим каналам и контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации. Пункт г) это проверка наличия и срока действия документов о прохождении оценки соответствия используемых СЗИ, пункт е) - сам факт наличия разграничения доступа (вход по логину/паролю) к журналу и должностные инструкции, пункт ж) - наличие и использование в софте такой возможности. Причем здесь лицензия не понимаю.
Изменено: Сергей С. - 22.11.2012 15:01:05
Спасибо за ответ!
Не хотелось бы вступать в подобную бесполезную дискуссию, но все же скажу свое мнение, может поправите.
Все же я думаю, уж коль написано, что "
Контроль за выполнением настоящих требований...
(т.е. всех, а не конкретно, относящихся к ТЗКИ)
" должен проводить лицензиат или...., то значит лицензия обязательна для привлеченного юр.лица. Может это фильтр организаций, которые будут предоставлять данные услуги?... А вот для оператора пока не пойму.
Страницы: Пред. 1 2 3 След.
Ответить
Читают тему (гостей: 4, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.