Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3
Ответить
RSS
Помогите разобраться с юр. вопросом
С пессимистической точки зрения это сделано с целью, в перспективе, путем издания соответствующих НПА регуляторов, напрячь оператора проводить аттестацию ИСПДн, в 152 ФЗ ст. 18.1, п. 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

Вот и установят что контроль (аудит) проводить в форме аттестации, тьфу...тьфу...тьфу. Тогда лицензия нужна однозначно.
Ждемс.. проект, а потом, если не повезет, то еще ждемс окончательный вариант документа...
Цитата
Гость пишет:
Операторам нужна лицензия ТЗКИ или нет?
По этому поводу ФСТЭК выступал со специальным Информационным сообщением №240/22/2222 от 30.05.12. Почитайте, там все написано.
Цитата
AlexG пишет:
По этому поводу ФСТЭК выступал со специальным Информационным сообщением
И толковать это сообщение можно двояко. Однозначного ответа там нет. Оператор сам принимает решение. Нет чтобы написать однозначно: если самостоятельно, то лицензия для собственных нужд не нужна.
Цитата
Сергей С. пишет:
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

Цитата
Сергей С. пишет:
А по этим пунктам (г,е) в 79ПП тоже не нашел таких видов деятельности, есть контроль защищенности конфиденциальной информации от утечки по техническим каналам и контроль защищенности конфиденциальной информации от несанкционированного доступа
а также п.е) установка, монтаж, испытания, ремонт средств защиты информации.

Просто не понимаю, зачем придумывать несуществующие проблемы, ведь за то, что для собственных нужд лицензия не нужна, говорит, как минимум, 2 факта:
1. Информационное сообщение ФСТЭК России от 30.05.2012 N 240/22/2222 "По вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации" (кстати, с сайта ФСТЭК удалено 15 октября):
Если деятельность по технической защите конфиденциальной информации не направлена на достижение целей деятельности, предусмотренных в учредительных документах, и (или) не связана с получением прибыли от выполнения указанных работ или оказания услуг, решение о необходимости получения соответствующей лицензии может быть принято юридическим лицом самостоятельно в соответствии с законодательством РФ

Двоякое толкование вызывает фраза, выделенная жирным. Попробую разобраться.
В ГК РФ, часть 1, ст. 50 определено, что "Юридическими лицами могут быть организации, преследующие извлечение прибыли в качестве основной цели своей деятельности (коммерческие организации) либо не имеющие извлечение прибыли в качестве такой цели и не распределяющие полученную прибыль между участниками (некоммерческие организации)".
Ст. 52 ГК РФ Учредительные документы юридического лица
1. Юридическое лицо действует на основании устава, либо учредительного договора и устава, либо только учредительного договора. (т.е. учредительным документом является, в частности, устав).
2. В учредительных документах юридического лица должны определяться наименование юридического лица, место его нахождения, порядок управления деятельностью юридического лица, а также содержаться другие сведения, предусмотренные законом для юридических лиц соответствующего вида.

Рассмотрим, например, Федеральный закон от 08.02.1998 N 14-ФЗ (ред. от 06.12.2011) "Об обществах с ограниченной ответственностью".
Статья 12. Устав общества
1. Устав общества является учредительным документом общества.
2. Устав общества должен содержать:
-полное и сокращенное фирменное наименование общества;
-сведения о месте нахождения общества;
-сведения о составе и компетенции органов общества, в том числе о вопросах, составляющих исключительную компетенцию общего собрания участников общества, о порядке принятия органами общества решений, в том числе о вопросах, решения по которым принимаются единогласно или квалифицированным большинством голосов;
-сведения о размере уставного капитала общества;
-права и обязанности участников общества;
-сведения о порядке и последствиях выхода участника общества из общества, если право на выход из общества предусмотрено уставом общества;
-сведения о порядке перехода доли или части доли в уставном капитале общества к другому лицу;
-сведения о порядке хранения документов общества и о порядке предоставления обществом информации участникам общества и другим лицам;
-иные сведения, предусмотренные настоящим Федеральным законом.

Как видим, в законе об ООО нет обязанности указывать в учредительных документах на ООО цели деятельности, =>
=> для ООО не подходит та самая строчка из инф.сообщения ФСТЭК, выделенная жирным шрифтом (если деятельность по технической защите конфиденциальной информации не направлена на достижение целей деятельности, предусмотренных в учредительных документах) =>
=> если деятельность ООО по технической защите конфиденциальной информации не связана с получением прибыли от выполнения указанных работ или оказания услуг, решение о необходимости получения соответствующей лицензии может быть принято юридическим лицом самостоятельно.


2. ПП 1119, п.17
Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Ведь для юр. лиц и ИП ясно написано, что если они привлекаются для проведения контроля, то они обязаны иметь лицензию.
Если бы для оператора было такое же требование, то это также ясно было бы отражено в данном пункте! Тут нет никаких двояких чтений! И не надо выдумывать несуществующие требования!!


8)
Ффу, вроде бы всё) жду комментариев :)

Если деятельность по технической защите конфиденциальной информации не направлена на достижение целей деятельности, предусмотренных в учредительных документах, и (или) не связана с получением прибыли от выполнения указанных работ или оказания услуг, решение о необходимости получения соответствующей лицензии может быть принято юридическим лицом самостоятельно в соответствии с законодательством РФ

Так вот законодательство РФ случаи, когда лицензия для собственных нужд не нужна указывает явно - это для лицензий ФСБ. А для ТЗКИ юрлицо самостоятельно принимает решение и вариантов два: получать лицензию и делать самому или привлекать лицензиата. Аналогично с п.17. Если привлекаемое лицо обязано иметь лицензию, разве это не значит, что для оператора это тоже обязательно? Работы те же, исключений в ФЗ "О лицензировании" нет.
Цитата
Сергей С. пишет:
в соответствии с законодательством РФ

Цитата
Сергей С. пишет:
Так вот законодательство РФ случаи, когда лицензия для собственных нужд не нужна указывает явно - это для лицензий ФСБ. А для ТЗКИ юрлицо самостоятельно принимает решение и вариантов два: получать лицензию и делать самому или привлекать лицензиата.
да нет же! В инф. письме ведь написано:

получение юридическим лицом лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации является обязательным в случае, если эта деятельность направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации и (или) она необходима для достижения целей деятельности, предусмотренных в учредительных документах юридического лица, а также если это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциальной информации при ее обработке в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации" по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы.



По-русски, 3 случая, в которых юр.лицу необходима лицензия:
1) деятельность по ТЗКИ направлена на получение прибыли от выполнения работ или оказания услуг по ТЗКИ;
2) лицензия необходима для достижения целей деятельности, предусмотренных в учредительных документах;
3) юр.лицо обеспечивает ТЗКИ при обработке по поручению

Анализируем:
1) для оказания услуг по ТЗКИ другим лицам лицензию надо, и это логично;
2) про цели, указанные в учредит. док-тах был мой прошлый пост, если вкратце, то эти цели юр.лицо указывать не обязано (напр. ООО). Нет целец в учр. доках -> нельзя применить данный пункт
3) по поручению лицензия нужна, что тоже логично

И где тут "для личных нужд юр. лица"? Нету ведь такого! Юр.лицо может, если захочет, это сделать (как и с аттестацией), но не обязано! По желанию!




Цитата
Сергей С. пишет:
А для ТЗКИ юрлицо самостоятельно принимает решение и вариантов два: получать лицензию и делать самому или привлекать лицензиата.
нет, это домыслы! такого не написано в 1119, ни в других НПА.

Цитата
Сергей С. пишет:
Аналогично с п.17. Если привлекаемое лицо обязано иметь лицензию, разве это не значит, что для оператора это тоже обязательно? Работы те же, исключений в ФЗ "О лицензировании" нет.
Не значит! Иначе зачем в п.17 1119 вообще упоминается о необходимости лицензии? И упоминается только для фирмы, а для оператора нет? Если по-вашему, так тогда не надо было упоминать про лицензию!
Мне кажется, Вы правы, Настя.
Если додумывать формулировки документов и "информационных сообщений" (тот еще статус у документа :) ), можно придти к какому угодно выводу.

Вообще, закон 99-ФЗ написан весело. Вот, например, ст.12 ч.1. п.14: " деятельность по тушению пожаров в населенных пунктах, на производственных объектах и объектах инфраструктуры, по тушению лесных пожаров". Исходя из него, никто не имеет права трогать огнетушители во время пожара, придется ждать "лицензиата". Так, что ли?
Цитата
AlexG пишет:
Мне кажется, Вы правы, Настя.
Если додумывать формулировки документов и "информационных сообщений" (тот еще статус у документа :) ), можно придти к какому угодно выводу.

Вообще, закон 99-ФЗ написан весело. Вот, например, ст.12 ч.1. п.14: " деятельность по тушению пожаров в населенных пунктах, на производственных объектах и объектах инфраструктуры, по тушению лесных пожаров" . Исходя из него, никто не имеет права трогать огнетушители во время пожара, придется ждать "лицензиата". Так, что ли?
:)
да, без лицензии нельзя пожар тушить, иначе атата будет)))
Настя, этому спору уже больше двух лет. Копий по вопросу необходимости получения оператором лицензии на ТЗКИ в случае, если он самостоятельно принимает меры по защите ПДн, сломано немало.
Я также поддерживаю Ваше мнение, что лицензия по ТЗКИ не нужна в случае, если оператор не осуществляет предпринимательскую деятельность (т.е. деятельность, направленную на извлечение прибыли) по ТЗКИ. А ведь именно такие виды деятельности должны быть прописаны в учредительных документаз оператора. Единственное исключение - виды деятельности, обязательность лицензирования которых прописана специальными правовыми нормами.
Коллеги, почему-то все зациклились только на одном виде деятельности - е) установка, монтаж и т.д. А в 79ПП таких видов...
По вашей логике я могу для собственных нужд провести, например, г) аттестационные испытания и аттестация на соответствие требованиям
по защите информации:
средств и систем информатизации;
помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;
Выпустить для себя любимого аттестат соответствия :D
Цитата
Сергей С. пишет:
могу для собственных нужд провести
Ну а почему нет? ))) Разрабатываете свои требования, производите соответствие этим требованиям, и называете документ "аттестат", только толку от него... ))))
Цитата
Настя пишет:
атата будет
Как бы это парадоксально не было, но да! ИП, которые, например, арендуют кусок леса, не могут в нем потушить пожар. И это печально.
А по поводу необходимости наличия лицензии полностью согласен с Настей, т.к. в устной беседе, во время проверки, регуляторы дали понять, что для установки и настройки средств защиты в ИСПДн во исполнение требований законодательства лицензия на ТЗКИ не нужна (конечно это ничем не подкрепляется). Подчеркиваю ДЛЯ УСТАНОВКИ И НАСТРОЙКИ. Про остальные виды деятельности ничего не обсуждалось. Единственное, в том случае, если СЗИ устанавливаются для защиты гос. тайны, то необходимо либо наличие лицензии либо привлечение лицензиатов - однозначно.
я тоже считаю, что не все так просто, т.к. ФЗ есть ФЗ, а ПП есть ПП.
Не помню формулировку, но если как-то противоречат НПА друг другу, то надо смотреть в НПА более высокого уровня...
пожалуйста, помогите разобраться чайнику:

сертифицирование информационных систем персональных данных и требования, устанавливаемые к защите (ПП 1119) - разные вещи?они взаимоисключают друг друга? какие последние изменения были в части сертификации ИСПДН?это все еще может делать лично оператор или привлекаемое им на основании договора лицо?

Большое спасибо!
Сертификация - оценка соответствия средств защиты информации (или софта например на НДВ) каким либо требованиям (тех. регламентам, тех. условиям, ГОСТам и т.п.).

Для ИСПДн необходимо провести контроль выполнения требований по защите, установленных правительством (1119ПП).
Для гос. информационных систем необходимо провести их аттестацию (по СТРК), для остальных аттестация необязательна.
Цитата
Сергей С. пишет:
Сертификация - оценка соответствия средств защиты информации (или софта например на НДВ) каким либо требованиям (тех. регламентам, тех. условиям, ГОСТам и т.п.).

Для ИСПДн необходимо провести контроль выполнения требований по защите, установленных правительством (1119ПП).
Для гос. информационных систем необходимо провести их аттестацию (по СТРК), для остальных аттестация необязательна.
То есть если я, как оператор (юр.лицо) не занимаюсь производством, установкой, монтажом средств защиты, у меня нет необходимости проводить сертификацию? Вы не подскажете, так было всегда или это какое-то изменение в законодательстве, отменяющее сертификацию средств?Так как в 152 ФЗ не говорится вообще ни слова о сертификации, это уже если копать всякие приказы постановления госкомиссий и т.д. находится все

Получается, что если у меня, как у оператора, есть какие-либо информационные системы какого-либо класса / категории, в которых хранятся персональные данные, мне необходимо лишь удовлетворять тем требованиям, которые закреплены в 1119ПП?
Цитата
Гость пишет:
необходимо лишь удовлетворять тем требованиям, которые закреплены в 1119ПП
и в самом 152ФЗ. ст. 19 ч. 2 Обеспечение безопасности персональных данных достигается, в частности:
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
1119ПП:
4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
О сертификации нет ни слова, есть оценка соответствия. Сертификация - один из способов такой оценки. Регуляторы считают, что других способов нет, но это вопрос . К тому же вас никто не заставляет самим сертифицировать СЗИ, покупайте с сертификатом у производителя. В случае проверки головной боли будет меньше.
:) Всем доброго дня! Подскажите, а может специалист по защите информации самостоятельно разработать пакет ОРД для организации, без привлечения сторонних компаний? (После объединения двух учреждений) ИСПДн сформированы, средства защиты имеются.
Страницы: Пред. 1 2 3
Ответить
Читают тему (гостей: 4, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.