Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 След.
Ответить
RSS
Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Всем добрый день.
Надеюсь в этой ветке еще осталась какая-нибудь активность и кто-нибудь сможет помочь в поиске ответа на вопрос.
Немного расплывусь мыслью: Есть высшее образование в сфере ИБ, работал в государственной структуре на должности администратора ИБ, прошел очную проверку ФСБ и сертификацию.

После ухода с госслужбы появилась мысли о оформлении ИП и предоставлению услуг по составлению документации и предпроверочной подготовки других организации.

Собственно, нужна ли мне лицензия ФСТЕК для составления нормативной документации в другой компании?
В ветке форума http://www.ispdn.ru/forum/forum7/topic3295/ пару лет назад обсуждался этот вопрос. Я так понял, что мои услуги не попадают под категорию составления ТЕХНИЧЕСКОЙ документации. Это больше оформление организационных документов, которые должны быть в организации на момент проверки (подписанная руководством политика безопасности, приказ о назначении админа ИБ, положения о антивирусной защите и др) + составление уведомлений в роскомназдзор. То есть я просто готовлю эти документы, руководство организации подписывает их и показывает проверяющим.

Если кто-то сможет проконсультировать с юридической точки зрения или тыкнуть в закон, буду очень благодарен.

Интересно так же общение за рамками форума, свои контакты сообщу в личных сообщениях.

Надеюсь на помощь, заранее спасибо!
Постановление Правительства РФ от 3 февраля 2012 г. «О лицензиро-вании деятельности по технической защите конфиденциальной инфор-мации»

В соответствии с Федеральным законом «О лицензирование отдельных видов деятельно-сти» лицензированию подлежит деятельность по технической защите конфиденциаль-ной информации (ТЗКИ).

Данное Постановление Правительства определяет, что «Под технической защитой конфи-денциальной информации понимается выполнение работ и (или) оказание услуг по ее за-щите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней».

В контексте защиты персональных данных представляет особый интерес следующая дета-лизация работ и услуг Постановления « При осуществлении деятельности по техниче-

ской защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:…

установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации)».

К программным средствам защиты информации относятся, в частности:

* Штатные средства разграничения доступа пользователей в операционных системах (подсистема управления доступом – идентификация, аутентификация, авториза-ция);

* Подсистемы антивирусной защиты;

* Подсистемы обнаружения и предотвращения вторжений (IDS/IPS);

* Подсистемы межсетевого экранирования (межсетевые экраны, персональные брандмауэры);

* Подсистемы архивирования и восстановления персональных данных;

К программным (программно-техническим) средствам контроля защищенности информа-ции относятся сетевые сканеры.

Учитывая, что согласно Указу Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» персональные данные отнесены к све-дениям конфиденциального характера вырисовывается следующая логическая цепочка:

1. Если Персональные данные – конфиденциальная информация

2. И, если Антивирус (и другие программные средства, перечисленные выше) – про-граммное средство защиты персональных данных, т.е. программное средство защиты конфиденциальной информации,

3. ТО для установки антивируса, программного средства защиты персональных дан-ных требуется наличие лицензии по технической защите конфиденциальной информации.

Возникает парадоксальная ситуация, когда на сотнях тысяч предприятий Российской Фе-дерации рутинные действия по установке операционной системы, антивирусного про-граммного обеспечения, межсетевых экранов считаются незаконными при отсутствии лицензии на ТЗКИ, только потому, что они используются для защиты персональных данных.

Многочисленные запросы во ФСТЭК побудили ее опубликовать «информационное сооб-щение по вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации» от 30 мая 2012 г. № 240/2222. Из этого сообщения следует, что лицензия на ТЗКИ необходима в трех случаях:

* Предприятие извлекает прибыль из деятельности по ТЗКИ (т.е. предоставляет услуги другим предприятиям);

* Деятельность по ТЗКИ указана в уставных документах предприятия;

* Защита конфиденциальной информации в явной форме поручена ее обладателем предприятию (т.е. предприятию поручена не обработка информации, которая должна защищаться по действующему законодательству, а именно техническая защита конфиденциальной информации).

Таким образом, если предприятие самостоятельно для своих нужд проектирует, разраба-тывает, внедряет, сопровождает технические средства защиты персональных данных, то лицензия на ТЗКИ не требуется. Остается только один вопрос, какую юридическую силу имеет информационное сообщение ФСТЭК, может ли оно изменить нормативную сущ-ность Постановление Правительства? :cry:
Сергей Терехов, вы бы, прежде чем отвечать, читали вопросы. Спрашивали ведь совсем не об этом.

Александр Леонтьев, написание документации не подпадает под определение деятельности по технической защите ПДн (см. Постановление №79 2012г). Исключение может составить, разве что, разработка проектной документации на системы защиты информации.
Написание орг. документации вполне можно назвать консультированием, юридической поддержкой и т.п.
Не парьтесь и пишите спокойно ОРД.
Цитата
AlexG пишет:
Сергей Терехов , вы бы, прежде чем отвечать, читали вопросы. Спрашивали ведь совсем не об этом.



Александр Леонтьев , написание документации не подпадает под определение деятельности по технической защите ПДн (см. Постановление №79 2012г). Исключение может составить, разве что, разработка проектной документации на системы защиты информации.

Написание орг. документации вполне можно назвать консультированием, юридической поддержкой и т.п.

Не парьтесь и пишите спокойно ОРД.


Понял. Большое спасибо!
Попробую еще получить юридическую консультацию - по результатам отпишусь.
Цитата
AlexG пишет:
№79 2012г
AlexG, по Вашему мнению, входит ли в состав ОРД такие документы:
1. частная модель угроз
2. модель нарушителя
3. политика безопасности
4. положение по защите ПДн
и т.п., требования разработки которых вытекают из НПА?
Есть несколько способов "увильнуть" от лицензии на ТЗКИ (о паре Вы упомянули), а я дал развернутый ответ тому, кто решил зарабатывать деньги на защите ПДн. Или потенциальному заказчику не потребуются упомянутые мною документы!?
Еще раз: под лицензирование подпадают:
- контроль защищенности.
- сертификация СЗИ.
- аттестация.
- установка, настройка, ремонт СЗИ.
- проектирование объектов в защищенном исполнении.

Что должно быть написано в лицензии, чтобы иметь право сделать модель угроз или написать политику ИБ?? Написание политики - это выполнение работ по технической защите информации?

Заказчику требуются упомянутые документы, но их можно написать без лицензии.
Цитата
AlexG пишет:
Еще раз: под лицензирование подпадают: - контроль защищенности. - сертификация СЗИ. - аттестация. - установка, настройка, ремонт СЗИ. - проектирование объектов в защищенном исполнении.

Что должно быть написано в лицензии, чтобы иметь право сделать модель угроз или написать политику ИБ?? Написание политики - это выполнение работ по технической защите информации?

Заказчику требуются упомянутые документы, но их можно написать без лицензии.

А что должно быть написано в лицензии, чтобы иметь право сделать модель угроз?
AlexG, поправьте, если я не понимаю...
1. Итак, объект защиты - конфиденциальная информация, или более расширенно ПДн+ технологии+инфраструктура, короче ИСПДн
2.исходные данные для ЧТЗ по защите ИСПДн = уровень защищенности + частная модель угроз + базовый набор мер ФСТЭКа_->уточненный набор и т.д.
и в этой цепочке разработка частной модели угроз не этап проектирования объекта в защищенном исполнении?
Этапы проектирования объекта в ЗИ определены ГОСТ Р 51583-2014. Там нет ни про модель угроз, ни про политику. Более того, и политика, и положение о ЗИ, и модель угроз - это все внутренние документы оператора. Даже если кто-то сделает их за него (в порядке консалтинга, скажем), подписывать их все равно будет оператор (а не консультант и не лицензиат). В любом случае делается вид, что их разработал сам оператор, а не кто-то со стороны.

Этак Вы и на написание внутреннего приказа о назначении администратора безопасности потребуете лицензию :D
Я-то не потребую.
1. Какой предмет договора напишет Александр Леонтьев для извлечения прибыли? Я думаю такой "Разработка ОРД в составе..."ЧМУ".
Теперь, окончательный вопрос, является ли (для простоты конкретно)разработка частной модели угроз деятельностью по технической защите конфиденциальной информации на формальном и содержательном уровнях или нет?
На формальном - это все же этап в проектировании СЗИ для ИСПДн или нет?
На содержательном - это исходные данные для выбора (проектирования) методов и средств защиты в ИСПДн или нет?
Как я понимаю, в данном контексте лицензирование - это способ государства отсечь неквалифицированные действия в чувствительной для субъекта ПДн области.
Только не подумайте, что я на стороне государства, я хотел предостеречь Леонтьева
от необдуманного указания предмета договора, не все так просто.
2. Приказ о назначении администратора безопасности - это административный, а не технический уровень защиты ПДн и лицензирование здесь ни при чем. :D
1. Вы, конечно, можете трактовать ГОСТ в нужном Вам виде. Но разработка модели угроз не является этапом проектирования. Но формальном уровне точно. А на содержательном даже простой осмотр помещения, в котором расположены технич. средства ИСПДн является, как Вы выражаетесь, "этапом". На осмотр (обследование условий эксплуатации) лицензия требуется?

В договоре Александр Леонтьев может написать все, что хочет: "Предоставление услуг по анализу...", "Консалтинг...", "Оказание помощи в оформлении документов ..." и т.д.

2. А упомянутые Вами выше Политика и Положение о защите - это технический уровень или административный? :D
1. AlexG, конечно, можно даже при фактической установке, настройке и т.п. деятельности по ТЗКИ в договоре написать "Обучение сотрудников безопасным приемам работы с ПДн, т.е написать одно, а делать другое. Речь же о другом. Еще раз прямой вопрос: можно ли Леонтьеву открыто взяться за разработку по договору за вознаграждение с Оператором ПДн документов типа ЧМУ?
2.Политика относится к процедурному уровню (из законодательного, административного, процедурного, технического, физического уровней защиты информации), положение по защите в зависимости от содержания может относится и к процедурному и к техническому (если в нем будут приведены требуемые конкретные настройки подсистем защиты, таких как МЭ, IPS и т.д.). :) :D
1. Можно, он ничего не нарушает. Акт приема/передачи сделанной (спроектированной) им системы защиты не подписывает.
2. Стало быть, без лицензии инструкцию пользователю написать нельзя? А расскажите-ка, как Вы различаете все эти уровни? Где проходит четкая граница между юридическим, процедурным, организационным и административным уровнями? Сами-то не запутаетесь? ;)
Цитата
AlexG пишет:
1. Можно, он ничего не нарушает. Акт приема/передачи сделанной (спроектированной) им системы защиты не подписывает.

Можно с тобой как-то пообщаться очно.
Если нужно, оплачу время.

Если да, скинь как-нибудь контакты, можно в ЛС топикстартера.
В реальном мире четкой границы нет, только в моделях реального мира
Я, думаю, что не запутаюсь:
1. Законодательный - законы, постановления Правительства, Приказы таких служб как ФСТЭК...
2. Организационный
2.1 Административный - приказы, распоряжения... подбор персонала по предприятию
2.2 Процедурный - положения, инструкции, политики, стандарты предприятия
3. Технический - контроль доступа к ресурсам, шифрование...
4.Физический -защита зданий, замки, охрана ...
Иногда, без соответствующего разрешения (лицензии, допуска...) нельзя заниматься некоторой деятельностью, в том числе и написание инструкций
:evil:
Дальше спорить не буду. Если Вы почитаете ФЗ-99 "О лицензировании...", то увидите, что тушить пожар самостоятельно Вы не имеете никакого права. Вы должны вызвать лицензиата, он приедет, возьмёт Ваш огнетушитель и потушит.
Так и действуйте. Удачи! :D
Я не оспаривал некоторую "тупость" наших законов и с удовольствием принял бы Ваше "Не парьтесь и пишите спокойно ОРД". Но, увы, Вы меня не убедили :cry:
Вы так и не ответили: могу я написать инструкцию пользователю без лицензии или нет? ;)
Конечно, но, если Вас это устроит, напишите Ваше представление об основных этапах (фазах) разработки проекта технической защиты ПДн в ИСПДн вплоть до аттестации с указанием тех из них, в которые включены модель нарушителя (по ФСБ) и ЧМУ (по ФСТЭК) :oops:
Еще раз: этапы проектирования систем защиты информации и содержание этих этапов определены в ГОСТ 51583. Все остальное - Ваши домыслы и догадки.
Страницы: 1 2 3 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.