Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 5 ... 8 След.
Ответить
RSS
Лицензирование деятельности при защите персональной информации.
Добрый день!

Помогите пожалуйста разобраться в вопросе защиты персональных данных.
Мы - спортивная федерация, которая ведёт учёт своих индивидуальных членов с помощью специально разработанной для этого программы. При этом права на программный продукт принадлежат Фонду, который по предварительной договорённости планирует занимается ещё и ведением БД, это связано с неимением у Федерации необходимых ресурсов.

Т.е. у нас получается 2 субъекта: Федерация, которая является владельцем БД персональных данных, и Фонд, который является владельцем программного продукта и по плану должен был вести эту БД.

Сама информационная система у нас 3 класса, распределённая.

Очень волнует вопрос лицензирования деятельности по защите персональных данных, находим противоречивую информацию...

Какие действия мы должны произвести, должны ли получать какие-то лицензии (мы и фонд) , проходить сертификацию и аттестацию?

Заранее благодарна за ответ
Добрый день!
Насколько мне известно, лицензия ФСТЭК по ТЗКИ требуется если Предприятие собирается оказывать услуги в данной сфере. В Вашем случае (ТЗКИ для себя, а не оказание услуг) данная лицензия не требуется.
Так как у Вас ИСПДн распределенная, то Вам необходимо шифровать Вашу информацию при передаче между различными филиалами. Для этого нужна лицензия ФСБ.
По поводу сертификации: проходить самим не обязательно, достаточно использовать СЗИ уже имеющие сертификат.
Насчет аттестации - она не обязательна
Цитата
Руслан пишет:
...лицензия ФСТЭК по ТЗКИ требуется если Предприятие собирается оказывать услуги в данной сфере. В Вашем случае (ТЗКИ для себя, а не оказание услуг) данная лицензия не требуется.
... Вам необходимо шифровать Вашу информацию при передаче между различными филиалами. Для этого нужна лицензия ФСБ.
С точностью до наоборот. Лицензия по ТЗКИ нужна, так как такая деятельность осуществляется (нет подразделения "для себя" и для "не себя"). А вот ФСБ лицензию по криптухе "для себя" (своих филиалов) не требует
Цитата
Simon пишет:
С точностью до наоборот. Лицензия по ТЗКИ нужна, так как такая деятельность осуществляется (нет подразделения "для себя" и для "не себя"). А вот ФСБ лицензию по криптухе "для себя" (своих филиалов) не требует
На этом форуме уже вроде обсуждалось про лицензию по ТЗКИ. Да и мне самому сотрудники ФСТЭК говорили, что "для себя" лицензия не требуется
Цитата
Руслан пишет:
Да и мне самому сотрудники ФСТЭК говорили, что "для себя" лицензия не требуется
А письменно так не ответят.
А они сами не знают, как правильно.
про ТЗКИ для себя точно тоже сказать не могу.
А вот лицензия ФСБ на эксплуатацию шифрсредств требуется.
Но использование СКЗИ нужно только при подключении Вашей системы к сетям общего пользования...
Цитата
Gleb пишет:
А вот лицензия ФСБ на эксплуатацию шифрсредств требуется.

Да дело в том, что таких лицензий и не существует.
Есть только:
- деятельность по распространению шифровальных (криптографических) средств;
- деятельность по техническому обслуживанию шифровальных (криптографических) средств;
- предоставление услуг в области шифрования информации;
- разработки, производства шифровальных (криптографических) средств.

Все это из Постановления пр-ва от 29 декабря 2007 г. N 957
Про ТЗКИ - однозначно не может сказать даже ФСТЭК. Слишком уж "Закон о лицензировании отдельных видов деятельности" скользкий.
Для получения предприятием выгоды (оказывать услуги по защите например) она нужна точно.
А если предприятие защищает ПДн для себя, то какая же здесь выгода?

Здесь тоже про это обсуждают
Д. Решетов, НПК "СпецПроект", (812) 612-12-36, dvr@spets-proekt.spb.ru
По поводу Федерации и Фонда.
Как я понял, ПДн находятся у Федерации и обрабатываются Федерацией. Планы в счёт не идут. Если в обработку включится и Фонд, то это уже другой вопрос, решаемый как правило на уровне сотрудников, допущенных к работе с ПДн.

В вашем случае надо обеспечить защиту от НСД к базе. Ну и организационно распределить полномочия, инструкции написать, ИСПДн классифицировать и т.д. Почти со всеми организационными документами можно справиться своими силами. С остальным - дело ваше - рисковать и делать всё без лицензии, либо обратиться к лицензиату и попросить его довести всё до конца (модель угроз написать, средства защиты установить и настроить и т.д.)

Ещё можно подождать изменений в законодательной базе :)
Д. Решетов, НПК "СпецПроект", (812) 612-12-36, dvr@spets-proekt.spb.ru
Лицензия на ТЗКИ все таки нужна, чтобы не говорили... Если даже работы будут осуществляться для "себя". Про правовые аспекты можно прочитать здесь.
Александр Рожков, тогда ответьте пожалуйста, как решить пару тонких вопросов:
1) "лицензия" - суть "разрешение" на что-то. Разрешение на исполнение обязанности? - воможно ли такое?
2) Допустим я физическое лицо, при этом оператор ПДн. Как же мне получить лицензию, если ПП №504 предусматривает получение лицензии на ТЗКИ только юр.лицам и ИП?
Евгений, я постараюсь ответить.
Цитата
1) "лицензия" - суть "разрешение" на что-то. Разрешение на исполнение обязанности? - воможно ли такое?
К сожалению, пока со всеми изгибами законодательства выходит только так. Обрабатываешь данные - обязан заниматься деятельностью по тех. защите и получать лицензию. Другие точки зрения подтверждения в законе не нашли. Бред полный, но пока только так.
Цитата
2) Допустим я физическое лицо, при этом оператор ПДн. Как же мне получить лицензию, если ПП №504 предусматривает получение лицензии на ТЗКИ только юр.лицам и ИП?
А вот это уже интересный вопрос. Без юриста сложно разобраться.
Цитата
Евгений пишет:
2) Допустим я физическое лицо, при этом оператор ПДн. Как же мне получить лицензию, если ПП №504 предусматривает получение лицензии на ТЗКИ только юр.лицам и ИП?
Получается никак. К сожалению нужно будет привлекать лицензиата. Хотя как Вам, как физическому лицу, удасться обрабатывать ПДн допустим от К3 до К1?
Цитата
Александр Рожков пишет:
Про правовые аспекты можно прочитать здесь.
Статья рекламного характера, очевидно же.
На вебинаре организованном компанией "Код безопасности" говорилось, что лицензирование обязательно, хоть "для себя" хоть нет.
Без лицензии на ТЗКИ нельзя дать аттестат о том, что ИСПДН соответствует всем регламентированным требованиям.
В свою очередь аттестация ИСПДн является НЕ обязательной и проводиться на усмотрение оператора.
В свободной продаже находятся сертифицированные средства защиты,
можно самостоятельно без лицензии на ТЗКИ их приобрести и установить.
Но без лицензии на ТЗКИ нельзя аттестовать свою ИСПДн,
для этого или самостоятельно получаем лицензию на ТЗКИ или приглашаем стороннего лицензиата, у которого такая лицензия есть.
В каком месте *WOW* вопрос, господа?
Изменено: Максим - 24.12.2010 09:07:45
Максим!
Действительно в 58 приказе нет требования об обязательности аттестации.
Но во всех документах по защите ПДн есть требование, в той или иной форме, об оценке соответствия ИСПДн.
Вот именно это и должен делать лицензиат.
Вы это имели ввиду?
С уважением, Шахалов И.Ю.
Игорь,
я придерживаюсь мнения, что нет обязательной необходимости привлечения стороннего лицензиата или самостоятельного получение лицензии на ТЗКИ.
Все работы по защите ПДн оператор может выполнить самостоятельно и без лицензии на ТЗКИ.
Купить/установить/настроить СЗИ и разработать/утвердить ОРД на своём предприятии.
Если возникает желание(но никак не необходимость) проверить свои ИСПДн перед приходом регуляторов на соответствие регламентированным требованиям.
Тогда можно говорить о привлечении стороннего лицензиата и получении аттестата. Так сказать для душевного спокойствия перед проверкой регуляторов.
Цитата
Максим пишет:
Купить/установить/настроить СЗИ и разработать/утвердить ОРД на своём предприятии
Ок, это Ваше субъективное мнение. Вопрос в том, кто является головным разработчиком автоматизированной системы (в данном случае ИСПДн), кто будет фигурировать в приказе о вводе в эксплуатацию или модернизацию. Это лицо (юрлицо) проводит работы по защите конфиденциальной информации для стороннего лица (личная и семейная тайна аемного персонала). Такая деятельность лицензируемая. Любой проверяющий (не дай Бог, будь-то трудовая комиссия, УПЭБ, УНП, если Вы госучреждение, то КРУ, КСП или др., должны написать замечание про ст.171 УК РФ. Могут написать письмо регуляторам, это основание для внеплановой проверки. Такое часто происходило в прошлом году в Москве.
Здесь задним числом для душевного спокойствия пригласить лицензиата не удасться. Будете с ними общаться, рассказывать о своем мнении. Если Вы машину водите, то имеете такой опыт общения с ГИБДД.
Вопрос только в том, как Вы оцениваете свои юридические и экономические риски, связанные с ПДн. Можно все - в игнор. Всех не проверят.:-))
Страницы: 1 2 3 4 5 ... 8 След.
Ответить
Читают тему (гостей: 5, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.