Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 ... 8 След.
Ответить
RSS
Лицензирование деятельности при защите персональной информации.
Цитата
Игорь Ю. Шахалов пишет:
Цитата


Виктор Плюснин пишет:
Вы всерьёз хотите сказать, что установка металлической двери в помешение, где обрабатываются персональные данные (а это одна из мер, прямо прописанных во ФСТЭКовском Положении), без лицензии на ТКЗИ запрещена?
Виктор, вы где про установку дверей по правилам ФСТЭК вычитали? Ключевые слова здесь - "по правилам ФСТЭК".
Шутник, Вы, однако...
Не путайте Божий дар с яичницей, а ТЗКИ с оргмерами!
Я читаю ФСТЭКовское "Положение о методах и способах защиты информации в информационных системах персональных данных", где есть замечательный пункт 2.1. Вы хотите сказать, что это не относится к полномочиям ФСТЭК?
Да, я понимаю, что это оргмеры, но, замечу, что в моём частном случае мне для полной защиты нужны именно оргмеры плюс Аккорд, который почему-то я могу установить в сервер, который потом был молча аттестован ФСТЭКовским лицензиатом при получении ФСБ-шных криптолицензий, но вдруг не могу в компьютер с зарплатной программой, потому, что по мнению г-на Аудитора, именно во втором случае это будет уголовное дело. Вам не смешно?
Виктор, но если так прмолинейно читать п. 2.1, то можно и ЧОПовцев к ТЗКИ приклеить.
Хорошо, что понимаете, что это оргмеры.
Но это не относится к полномочиям ФСТЭК никак, кроме того, что это должно быть!

А по поводу аттестованного у Вас сервера...
Сдается мне, что Вы зря выкинули деньги.
Первое. Какие каналы утечки были перекрыты при аттетстации Вашего сервера? НСД признали актуальным? Тогда как аттестовывали без СЗИ от НСД?
Второе. Думаю, что Вам и без меня известно, что изменение конфигурации аттестованной АС означает автоматически немедленное и неизбежное аннулирование аттестата соответствия.

Так что, Виктор, Вы для аттестации сервера нашли плохого лицензиата. Но это его проблемы - он отвечает своей лицензией за неправильно аттестованный объект.
Но! Только до тех пор, пока Вы не влезли в этот аттестованный объект!!
Как только влезли - спасли халтурщика и подставили себя...

А Аудитор прав.
Установка и настройка средств защиты конфиденциальной информации - есть лицензируемый вид деятельности.
И градации "для себя" или "для дяди" НЕ СУЩЕСТВУЕТ!

Нет, мне НЕ СМЕШНО.
Мне грустно, потому что менталитет наш, испорченный вседозволенностью 90-х годов, подталкивает многих на активное нарушение закона и это не вызывает отторжения в обществе.
Немного пафосно, согласен. Но "обтачивать" мысль не хочу.
Вы когда за рулём едете, то ПДД соблюдаете потому, что боитесь наказания?
Или потому, что жить хотите?
С уважением, Шахалов И.Ю.
Сравнение ехать за рулем и ставить антивирусы с другими программными продуктами защиты нелепо. Одно дело сдать на права, выучить правила и научиться ездить, а другое дело системному администратору организации нельзя ставить программщину в его же сетку за которую он! отвечает каким то вообще левым людям, что это за защита такая? А потом после лицензиатов он же и будет юзать эти средства, ну не смех ли?
Изменено: Oleg - 27.12.2010 19:51:27
Цитата
Oleg пишет:
ну не смех ли?
Нет, конечно всё можно довести до абсурда.
Ставьте антивирус, Олег, ставьте! И юзайте его на здоровье!
А вот, чтобы создать СИСТЕМУ ЗАЩИТЫ ИСПДн - будьте добреньки, получите лицензию.

Если Вам, Олег, "нелепо" сравнение с водителем, то может "лепо" будет сравнение футбола с волейболом?
Почему нельзя играть ногами?
Ну, подумаешь, правила придумали! Мне, лично, из аута мяч удобнее ногой доставать!
А каке-то умники, мне это запрещают!
С уважением, Шахалов И.Ю.
Хорошо, придут лицензиаты и установят мне допустим SecretNet на сервер и рабочие станции, до кучи впарят VipNet и все настроят. После их ухода админить и настраивать все СЗИ буду я, а кто же еще? Причем тут опять же волейбол и футбол? Кстати если читать инструкции к СЗИ в них во всех написано, что настройку и установку делает ответственный за защиту. Ваша позиция мне понятна т.к. это ваш хлеб. Но мы не строим проекты для кого либо или для себя, мы просто выполняем требования 58 приказа.
Цитата
Oleg пишет:
придут лицензиаты и установят мне допустим SecretNet на сервер и рабочие станции, до кучи впарят VipNet и все настроят.
Видимо в таком случае необходимо ИСПДн выдвинуть требования не только конфиденциальности, но также доступности. Сослаться, что защитой ИСПДн занимается нанятый сторонний лицензиат. И именно его необходимо выдергивать при любой нештатной ситуации (программном сбое и т.п.), т.к. именно он выдал аттестат на соответствие ИСПДн всем требованиям. После проведенных лицензиатом работ нельзя нарушать целостность систем, то есть проводить какие-либо самостоятельные действия над системой(перемещать/переконфигурировать и пр.).
Какие гарантии у заказчика(Оператора), что после проведенных работ стороннего лицензиата и выдачи аттестата, аттестованная ИСПДн не рухнет в одночасье полностью или отдельными элементами? Кто, по мнению сторонних лицензиатов, будет обязан проводить восстановление и переаттестацию?...
Никто об аттестации не говорит, если нужно то делайте по желанию. Мы защищаем ПДн и не госорган чтобы аттестоваться.
Меня заинтересовала ситуация, когда у Оператора нет ни лицензии на ТЗКИ, ни сотрудников занимающихся защитой ПДн. Ведь в таком случае приглашается сторонний лицензиат для проведения работ по защите. Лицензиат после проведенных работ по защите ПДн ведь выдаст аттестат на ИСПДн, не так ли? Отсюда и вопросы про гарантии...
Изменено: Максим - 28.12.2010 09:10:04
Цитата
Игорь Ю. Шахалов пишет:
Виктор, но если так прмолинейно читать п. 2.1, то можно и ЧОПовцев к ТЗКИ приклеить.
Хорошо, что понимаете, что это оргмеры.
Но это не относится к полномочиям ФСТЭК никак, кроме того, что это должно быть!
С учётом того, что это прописано во ФСТЭКовском документе, у меня есть богатейший выбор - считать, что это превышение полномочий ФСТЭК и идти в суд обжаловать документ, или, что мне нравится значительно больше, считать, что эти оргмеры являются мягким требованием (я тут не буду расшифровывать смысл выражения) ФСТЭК.
Цитата
А по поводу аттестованного у Вас сервера...
Сдается мне, что Вы зря выкинули деньги.
...
Вы совершенно зря делаете совершенно неверные выводы из сознательно очень неполных данных - Вы же даже не знаете, зачем именно сервер аттестовывался. :D
Цитата


А Аудитор прав.
Установка и настройка средств защиты конфиденциальной информации - есть лицензируемый вид деятельности.
И градации "для себя" или "для дяди" НЕ СУЩЕСТВУЕТ!
Свою точку зрения по этому поводу мне очень не хочется публично светить, её я приберегу для возможных боданий с регуляторами, коих у меня зело много.
Цитата
Нет, мне НЕ СМЕШНО.
Мне грустно, потому что менталитет наш, испорченный вседозволенностью 90-х годов, подталкивает многих на активное нарушение закона и это не вызывает отторжения в обществе.
Немного пафосно, согласен. Но "обтачивать" мысль не хочу.

Вы когда за рулём едете, то ПДД соблюдаете потому, что боитесь наказания?
Или потому, что жить хотите?
Вот с этим пафосом соглашусь полностью.
Но тут мне проще, я за рулём не езжу :) , хотя улицу перехожу на зелёный не из-за опасения штрафа.
нарушение условий, предусмотренных лицензией на осуществление деятельности в области
защиты информации (за исключением информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от трех до пяти
минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных
размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров
оплаты труда (п. 1 ст. 13.12 КоАП РФ);
использование несертифицированных информационных систем, баз и банков данных, а
также несертифицированных средств защиты информации, если они подлежат обязательной
сертификации (за исключением средств защиты информации, составляющей государственную
тайну), - влечет наложение административного штрафа на граждан в размере от пяти до десяти
минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты
информации или без таковой; на должностных лиц - от десяти до двадцати минимальных
размеров оплаты труда; на юридических лиц - от ста до двухсот минимальных размеров оплаты
труда с конфискацией несертифицированных средств защиты информации или без таковой (п. 2
ст. 13.12 КоАП РФ);
грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в
области защиты информации (за исключением информации, составляющей государственную
тайну), -
влечет наложение административного штрафа на лиц, осуществляющих
предпринимательскую деятельность без образования юридического лица, в размере от десяти до
пятнадцати минимальных размеров оплаты труда или административное приостановление
деятельности на срок до девяноста суток; на должностных лиц - от десяти до пятнадцати
минимальных размеров оплаты труда; на юридических лиц - от ста до ста пятидесяти
минимальных размеров оплаты труда или административное приостановление деятельности на
срок до девяноста суток (п. 5 ст. 13.12 КоАП РФ);
занятие видами деятельности в области защиты информации (за исключением информации,
составляющей государственную тайну) без получения в установленном порядке специального
разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным
законом обязательно (обязательна), - влечет наложение административного штрафа на граждан в
размере от пяти до десяти минимальных размеров оплаты труда с конфискацией средств защиты
информации или без таковой; на должностных лиц - от двадцати до тридцати минимальных
размеров оплаты труда с конфискацией средств защиты информации или без таковой; на
юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией
средств защиты информации или без таковой (п. 1 ст. 13.13 КоАП РФ);
Крайне познавательная информация))
Прочитал дискуссию, понравилось сравнения про водителя :) Представил себе - водитель-механик (с водительскими правами) не имеет права себе в свой автомобиль поставить маслянный фильтр т.к. у него нет лицензии :) А это ведь тоже деятельность? Так уважаемый И. Шахалов?
Цитата
Гость пишет:
Прочитал дискуссию, понравилось сравнения про водителя Представил себе - водитель-механик (с водительскими правами) не имеет права себе в свой автомобиль поставить маслянный фильтр т.к. у него нет лицензии А это ведь тоже деятельность? Так уважаемый И. Шахалов?
Давайте не будем путать теплое с мягким, лицензия на установку масляного фильтра ведь по закону не требуется. А вот на проведение мероприятий по ТЗКИ требуется. Подчеркну "на проведение мероприятий", т.е. не связана в данном случае с извлечением прибыли.
Цитата
Гость пишет:

Цитата

Давайте не будем путать теплое с мягким, лицензия на установку масляного фильтра ведь по закону не требуется. А вот на проведение мероприятий по ТЗКИ требуется. Подчеркну "на проведение мероприятий", т.е. не связана в данном случае с извлечением прибыли.
Хорошо. Можно ли без лицензии:
- принять решение о том, что нужно установить СЗИ от НСД;
- установить СЗИ от НСД;
- настроить СЗИ от НСД;
- принять решение о том, что нужно установить программный МЭ;
- установить программный МЭ;
- настроить программный МЭ?
С Хабра:
Цитата
socket378: Меня давно удивляет и настораживает то, с какой легкостью законотворцы лезут в область IT, являясь при этом абсолютно некомпетентными в ней. Похоже любой, кто освоил кнопку «Пуск» уже считает, что знает «как нам обустроить интернет». Почему они не лезут в область ядерной физики, например? Чем IT так провинилась?
Почему бы не принять закон, например, «об энергетической эффективности», обязывающий производителей электроэнергии использовать только вечные двигатели? Откуда они эти двигатели будут брать — вопрос десятый, но ведь начинание-то благое! Бесплатная энергия поднимет ВВП в триллион раз, все будут счастливы.
А еще здорово было бы принять закон «о противодействии голоду», по которому производитель продуктов питания обязан был бы кормить всех желающих, а так же самостоятельно следить за тем, чтобы никто не голодал. Как бы производители при этом выкручивались — не знаю, но какая бы у нас жизнь началась!
Явно ни где не прописано, что лицензия на ТЗКИ при защите ПДн нужна.
Но логическую цепочку, порыскав в документах, что нужна, выстроить можно.
Чем рьяно и занимаются те у кого такая лицензия есть или те кто предоставляют эту лицензию за $
Вот такие вот дела в нашем царстве-государстве. С новым годом!
Интересная ветка http://www.gosbook.ru/node/8464
Здравствуйте!
Помогите разобраться в вопросе!
Что делать простой сельской средней школе с количеством учащихся 250 человек и 50 сотрудников!
С чего начать?
Начните с этого http://www.wikisec.ru/index.php?title=%D0%97%D0%B0%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F­_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0
Цитата
Виктор Плюснин пишет:
Можно ли без лицензии:
- принять решение о том, что нужно установить СЗИ от НСД;
- установить СЗИ от НСД;
- настроить СЗИ от НСД;
- принять решение о том, что нужно установить программный МЭ;
- установить программный МЭ;
- настроить программный МЭ?
Можно.
На домашнем компьютере - пожалуйста.
На рабочем, если Вы не обрабатываете на нём ПДн третьих лиц - пожалуйста, Вы свми определяете степень конфиденциальности Ваших ПДн.

А вот на компьютере, где обрабатываются ПДн третьих лиц, которые не дали ПИСЬМЕННОГО разрешения на обработку без применения средств защиты - НЕЛЬЗЯ!
Таковы правила, установленные ГОСУДАРСТВОМ в своих нормативно-правовых актах.

Где я не прав?
С уважением, Шахалов И.Ю.
Цитата
Гость пишет:
Прочитал дискуссию, понравилось сравнения про водителя Представил себе - водитель-механик (с водительскими правами) не имеет права себе в свой автомобиль поставить маслянный фильтр т.к. у него нет лицензии А это ведь тоже деятельность? Так уважаемый И. Шахалов?
К величайшему моему сожалению, не могу ответить вежливостью на Вашу вежливость, потому, что, согласитесь, нелепо будет писать "Уважаемый аноним!".

Так вот, возьму на себя смелость огорчить Вас по поводу маслянного фильтра.
Нет, конечно, Вы можете заменить не только указанный выше девайс автомобиля, но и даже перебрать весь двигатель с коробкой передач в придачу, если, конечно, руки растут из правильного места и "заточены" под это.
Никто и не спорит!

Но как на это посмотрит производитель автомобиля, пока он (автомобиль, конечно) находится на его (производителя, конечно) гарантии?

Так что считайте Государство производителем, а его (Государства, конечно) законы - требованиями по эксплуатации. Если Вам так удобнее и понятнее. :)

Кстати, водительские права не гарантируют достаточных технических знаний по замене фильтров.
Это в пору моей молодости для получения водительского удостоверения требовалось знание автомобиля.
А сейчас...
Эх...
С уважением, Шахалов И.Ю.
Сложилась довольно забавная ситуация, на то что лицензия нужна, напирают в подавляющем большинстве конторы, осуществляющие оказание услуг в этой области. Это понятно, несите бабло и у вас будет все в порядке. В то же время ФСТЭК ни разу!! повторюсь ни разу не дал четкий и ясный ответ на этот вопрос, по этому выдавливание из законов и прочего псевдонеобходимости лицензии тоже бред. Единственным верным путем в этом случае, будет мониторинг решений судов по этому вопросу, а они в подавляющем большинстве указывают на то, что лицензия на ТЗКИ нужна только при оказании услуг сторонним организациям, то есть при получении прибыли с этого.
Суды считают, что получение лицензии на деятельность, подлежащую лицензированию, обязательно для тех лиц, для которых эта деятельность является основной. В случае, если деятельность рассматривается как элемент основной производственной деятельности и именно от ее осуществления не происходит извлечение прибыли, получение лицензии на нее не требуется. Эта позиция содержится в Постановлениях ФАС ВВО от 06.05.2005 N А43-30702/2004-26-1135, апелляционной инстанции Арбитражного суда Свердловской области от 02.02.2005 N А60-39874/2004-С9, ФАС СЗО от 09.11.2007 N А05-5724/2007, ФАС ВВО от 18.06.2008 N А31-6296/2007-13, решении Арбитражного суда Свердловской области от 26.05.2008 N А60-5642/2008-С9.
А всем представителям организаций интеграторов желаю много кушать и не болеть, но не за счет ПДн ;)
Страницы: Пред. 1 2 3 4 5 ... 8 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.