Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
Ответить
RSS
Лицензирование аутсорсера ИСПДн, Лицензирование аутсорсера ИСПДн
Требуется ли лицензирование аутсорсера ИСПДн. Т.е. допустим у нас на обслуживании находится 1С, которая находится в нашем ЦОДе. Требуется ли нам получение лицензии? Особенно, если в в системе ведётся обработка ПДн не сотрудников компании (агентов).
Гость, если по договору вы отвечаете за безопасность ПДн (а, скорее всего, так оно и есть), то да нужна лицензия.
Алекс, возможно ли в таком случае привлечение подрядчика, который является лицензиатом? Какой объем работы ему придётся передавать? Только создание СКЗИ или часть работа по сопровождению ИСПДн?
Хотелось бы ещё отметить, что мы мы не являемся госучреждением.
Цитата
Гость пишет:
Алекс, возможно ли в таком случае привлечение подрядчика, который является лицензиатом? Какой объем работы ему придётся передавать? Только создание СКЗИ или часть работа по сопровождению ИСПДн?
Препятствий к привлечению подрядчика в законодательстве вроде нет. Какой объем передавать? Я так понимаю, все работы, на выполнение которых требуется лицензия, остальное - по желанию.
То, что вы не госучреждение ни на что не влияет.
Спасибо!

Является ли необходимостью передавать работы по сопровождению ИСПДн (от прикладных функций, типа создания нового пользователя (что вряд ли...), до процессов ИБ, таких как реакция на события ИБ: срабатывания антивируса, СОВа и пр). Или можно обойтись только созданием: разработка ТЗ, поставка сертифицированных средств и ПНР (а может и СМР)?
Цитата
Гость пишет:
Является ли необходимостью передавать работы по сопровождению ИСПДн (от прикладных функций, типа создания нового пользователя (что вряд ли...), до процессов ИБ, таких как реакция на события ИБ: срабатывания антивируса, СОВа и пр).
Думаю, что нет. Ведь эти операции прописываются в экспл. документации, во внутренних инструкциях персоналу и направлены на выполнение тех требований по эксплуатации ИС, к-рые определены лицензиатом при ее создании. Реакция на события (будь то работа с антивирусом или изменение полномочий пользователя) не явл. лицензируемым видом деятельности, это просто эксплуатация защищенной ИС.
Не попадает ли это под действие п.2. Положения о лицензировании деятельности по технической защите конфиденциальной информации:

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

А следовательно необходимость лицензирования?
Гость, дело в том, что деятельность по ТЗКИ включает в себя 6 видов работ и услуг (см. ПП-79 от 2012г). Конечно, при желании можно и запуск антивируса подвести под "контроль защищенности от НСД" (как, собственно, некоторые и предлагают на этом форуме). Но все-таки для того, чтобы возникла необходимость получать лицензию на конкретный вид работ (услуг), нужно, чтобы эти работы были юридически значимыми. Т.е. либо результаты такого контроля специально протоколируются и в дальнейшем на их основе кто-то будет аттестовать ИС. Либо, в договоре с клиентом, который запускает проверку антивирусом, должно быть указано: оказание услуг по контролю защищенности ИС от вредоносного ПО". Думаю, что ничего такого в договор писать не нужно, лучше просто назвать это техподдержкой, консалтингом, сопровождением ИС или как-то еще.
Спасибо!

Т.е. эксплуатация ИСПДн не попадает под необходимость получения лицензии на эксплуатацию ТЗКИ!

Также хотелось бы услышать мнения возможно уже существующих аутсорсеров ПДн: видел в интернете, что паркинг.ру предлагает услугу аутсорса ПДН в облаке и у них всё-таки есть лицензия. Является ли это обязательным для них? У других подобных компаний данные по лицензиям разнятся.. :)
Подскажите ещё, пж, в процессе эксплуатации ИСПДн разве не осуществляется
контроль защищенности конфиденциальной информации от утечки по техническим каналам в средствах и системах информатизации и контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации

собственно теми же СЗИ и административными процедурами.
Гость, ну я ж выше писал. Хотите - называйте контроль защищенности, хотите - администрирование системы защиты информации...
Алекс, можно я Вас ещё немного помучаю? Совсем запутался кому нужна лицензия, кому просто регистрация как оператора ПДн.

Ситуация: есть несколько официально неаффилированных компаний, каждая из которых сталкивается с персональными данными (как минимум своих сотрудников). Обслуживание информационной системы (в том числе ИСПДн) выполняет одна из этих компаний (оператор ПДн). Кадровое сопровождение ведёт другая из этих компаний (не оператор ПДн, в согласии субъекта ПДн имеется пункт о передаче его данных оператору). Планируется привлечь внешнего подрядчика с лицензией для проектирования и создания ИСПДн. В общем достаточно типичная ситуация для регламентированной компании.
Кто в этом случае должен быть зарегистрирован оператором и нужны ли доп. лицензии на ТЗКИ?
Гость, непонятно, что такое обслуживание инф. системы. Эксплуатация?
Если обрабатываете ПДн только своих сотрудников, то ничего не нужно, можно защищать без лицензии. Если обрабатываете ДЛЯ кого-то, то должен быть договор, условием к-рого является обязанность обеспечить безопасность ПДн. В этом случае либо защищаете сами, но уже с лицензией, либо нанимаете аутсорсера, он вам строит систему защиты (устанавливает СЗИ), а вы ее эксплуатируете.
Те, кто ведет кадровое сопровождение - аналогично. Они обрабатывают ПДн по договору, следовательно защищать могут только при наличии лицензии или наняв аутсорсера-лицензиата.
Цитата
AlexG пишет:
Если обрабатываете ПДн только своих сотрудников, то ничего не нужно
Т.е. если обрабатываем только персоналку своих работников, то не обязательно привлекать лицензиата, можно просто закупить сертифицированные СЗИ и установить/настроить самим??
Евгений, да.
AlexG, а какже ПП №79?
4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Евгений, по этому поводу не раз писали на форуме.
Есть инф. сообщение ФСТЭК №240/22/2222 от 30.5.2012г. Почитайте :)
Алекс, с юбилейным 500-м сообщением в форуме! :)
Можно зафиксировать окончательно, если это не сложно? Если в согласии на обработку ПДн дано разрешение на передачу ПДн третьему лицу, то должно ли это третье лицо быть лицензированной компанией? Спасибо!
Страницы: 1 2 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.