|
05.03.2010 12:51:50
Вообще интересно. В "Положении о ФСТЭК" в пункте 13 четко написано, что проведение работ по оценке соответствия (включая работы по сертификации) СЗИ только для государственных информационных ресурсов. А для информации ограниченного доступа (и получается ПД тоже ) только "обязательные требования в области технического регулирования". |
|||
|
|
|
05.03.2010 19:41:37
Пожалуйста. Я писал это раньше в другой ветке. Сам себя процитирую:
Получается, что лицензирование деятельности по ТЗКИ обязательно. Вы или получаете лицензию, или... см. выше.
С уважением, Шахалов И.Ю.
|
|||||
|
|
|
05.03.2010 20:15:24
Логично, к сожалению. Кстати их этой логической связи следует, что требование лицензии распространяется на любой класс ИСПДн (что сейчас в принципе и сделано в 58 приказе). А если принять во внимание 9-й пункт перечня видом лицензируемой деятельности из 128ФЗ ("деятельность по ... (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд ...)"), то получается что и для "внутренней" работы с любым типом ИСПДн требуется лицензия/помощь лицензиата. PS Может у вас есть аналогичное мнение по поводу применения сертифицированных СЗИ?
Изменено:
- 05.03.2010 20:35:00
|
|||
|
|
|
05.03.2010 21:11:22
Доброго времени суток!
Не вдаваясь в подробности: 1. Приказ №58 еще официально не опубликован (Российская газета или сайт Минюста). Ожидаемый срок публикации - ~5 марта 2010 года, соответсвенно в силу еще он вступает ~15 марта. 2. Получение лицензии на ТЗКИ установлено 128-ФЗ и ПП504 3. Иной процедуры оценки соответствия, кроме сертификации, пока нет. 4. Приказ устанавливает применение двух ранее изданных документов - "Б.М." и "Методики" 5. О неприменении других документов (из 4-х) пока говорить преждевременно. Изменено: Евгений В. Казаков - 05.03.2010 00:17:34 Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru вчитайтесь в фразу из приказа: 1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 г., регистрационный N 11462). Модель угроз разрабатывается на основе методических документов, утвержденных в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781. 1.5. Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором (уполномоченным лицом) системы защиты персональных данных. что получаем: 1. де-юре приказ еще раз подтвердил наличие и легитимность неких "методических документов, утвержденных в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781" 2. раз мы модель угроз разрабатываем на основе двух книг и чернокнижия,значит "Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз" придется делать по оставшимся двум книгам. |
|
|
|
|
05.03.2010 21:15:37
to lexxa7115
Хм, я думал, что я один в предпраздничный день делами занимаюсь - ан, нет, однако! 
По поводу распространения лицензирования пнрилюбом классе ИСПДн Вы правильный вывод сделали. Только п. 9 я бы не стал применять к ИСПДн в обязательном виде - только по решению "хозяина" системы. Да и для эксплуатации системы, я думаю, можно обойтись без лицензии (хотя спорно). А вот при проектировании, создании и настройке ИСПДн бел лицензии/лицензиата не обойтись. По поводу сертификации... Такой логической цепочки найти не могу. По гостайне - да, а вот по конфиденциальной... Единственно, что лежит на поверхности - СТР-К. Но оно обязательно для защиты государственных информационных ресурсов, а для остальных "тайн" носит рекомендательный характер. Но! В новом Положении сказано "оценка соответствия". На сегодняшний день единственной легитимной процедурой оценки соответствия является именно сертификция. Технического регламента нет. Поэтому для защиты ПДн надо применять сертифицированные СЗИ. Вот такое мое вИдение. Постараюсь на следующей неделе проконсультироваться по этому вопросу.
С уважением, Шахалов И.Ю.
|
|
|
|
|
05.03.2010 21:25:35
Правильно. Мы про это выше уже говорили. См. пост 36 и цитируемый Вами 37.
С уважением, Шахалов И.Ю.
|
|||
|
|
|
05.03.2010 21:45:17
Шахалову И.Ю.
Как то пропустил Ваш пост. Удивляют конечно выступления "форумчан". Здесь главное сейчас подключать юристов и в "мутной воде" методик и приказов найти правильное, а главное юридически обоснованное решение(!) как "обеспечить безопасность ПДн" |
|
|
|
|
05.03.2010 22:02:39
Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 г.:
Пункт 2. фсб и фстэк УТВЕРДИТЬ В ПРЕДЕЛАХ СВОЕЙ КОМПЕТЕНЦИИ в 3-месячный срок НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением. Пункт. 3 Методы и способы защиты информации в информационных системах устанавливаются ФСБ и ФСТЭК в пределах их полномочий. ЧТО ИМЕЕМ? 1. Нормативно правовые акты есть – есть новый приказ ФСТЭК 2. Методические документы есть – есть четыре КНИЖКИ 3. Они необходимы для выполнения требований – необходимы 4. Все документы разработаны в пределах компетенции и в пределах полномочий ФСТЭК – безусловно ИТОГ….. грустная очевидность |
|
|
|
|
07.03.2010 00:20:08
Именно это я имел ввиду в предыдущем своем посте. Написанное в предыдущем посте получено мной на рабочем совещании в ФСТЭК России.
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
|
|||
|
|
|
07.03.2010 21:25:47
Вопрос, а какими нормативными актами регулируется сертификация? Где вообще оговорена такая процедура? |
|||||
|
|
|
08.03.2010 12:34:44
Игорь Ю. Шахалов писал:
[Да и для эксплуатации системы, я думаю, можно обойтись без лицензии (хотя спорно). А вот при проектировании, создании и настройке ИСПДн бел лицензии/лицензиата не обойтись.] В соответствии с ПП-504: 2. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней. Итого: т.е. теперь оператор, не имеющий лицензии по ТЗКИ и, не имеющий финансовых возможностей для привлечения лицензиата (а расценки наших лицензиатов просто варварские, как и, впрочем, затраты на получение лицензии самостоятельно...) не имеет права проводить своими силами: 1.Организационные (административные) мероприятия 2.Технические мероприятия и др. Т.е. даже разработать и принять комплект необходимой документации (например, подобный комплекс был опубликован нашим МИНЗДРАВом) теперь нельзя без лицензии/лицензиата. С учетом того, что требования по лицензированию ТЗКИ необычайно избыточны для большинства Операторов (например для многих - ТКУИ и ПЭМИН неактуальны; и закупать описанное в ПП-504 оборудование нет нужды), созревает риторический вопрос - ЧТО остается ДЕЛАТЬ?! Не кажется ли вам, что наше законодательство целенаправленно затачивается под коррупционность?! Нигде в мире нет больше таких жестких требований по защите ПДн... (сравните с законодательством Канады, Америки и Евросоюза к примеру) Единственный возможный разумный шаг наших законодателей, чтобы не позорить себя на весь мир - В п.11 статьи 17 ФЗ-128 добавить (по аналогии с п.9): за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя. Жду ваших комментариев господа! |
|
|
|
|
09.03.2010 07:43:56
Что изменится от наших комментариев? Остаеться уповать только на здравомыслие ФСТЭКа и выдачу им лицензий по ТЗКИ для "собственных нужд" (для систем К2, К3, К4) без контрольно-измерительного оборудования, аттестованных АС и ВП, т.е. на то, что ФСТЭК пойдет на нарушение ПП 504. Судя по представленной на данном ресурсе информации, они этого делать не намерены. Так что "хочешь - сей, а хочешь - куй..." (С)
Изменено:
- 09.03.2010 09:16:01
|
|||
|
|
|
10.03.2010 09:24:40
"Не кажется ли вам, что наше законодательство целенаправленно затачивается под коррупционность?!"
не законодательство, а всякого рода изобретатели "Четверокнижья", в официальном приказе фигурирует "прошедшие в установленном порядке процедуру оценки соответствия" - которую эти изобретали опять устно подразумевают сертификацию, ""http://www.a-datum.ru/forum/viewtopic.php?f=31&t=34"" ""guest писал(а): а как же "использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия"? Порядок устанавливается чуть ниже в п.2.12 Цитата: 2.12. Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей. Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом). guest писал(а): и где там прописано о отмене лицензирования и добровольной сертификации? В том то и дело, что нигде не прописана обязательность лицензирования - за исключением спорных моментов (профильный комитет Думы считает, что для собственных нужд не требуется - ФСТЭК считает, что требуется) в Законе "О лицензировании". Во всяком случае это уточнение есть в предложениях по изменению законодательства. А система добровольной сертификации прописана начиная с Закона "О техрегулировании" "" А чиновники продолжают считать овец, которых надо подстричь: "В Роскомнадзоре во вторник, 9 марта, состоялось очередное заседание Консультативного совета при Уполномоченном органе по защите прав субъектов персональных данных... В ходе заседания выработаны предложения по усилению работы с операторским сообществом с целью активизации процесса направления в Уполномоченный орган уведомлений об обработке персональных данных." Так, что опять ждем очередного шага законодателей пока они обуздают "изобретателей". |
|
|
|
|
10.03.2010 10:00:12
Да, все именно так печально. Вы все правильно написали. «Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа». По тексту именно так и получается, что например мероприятия (организация пропускного режима и т.п.) для защиты ПДн от несанкционированного доступа без лицензии делать нельзя. По сути полнейший абсурд... |
|||
|
|
|
11.03.2010 14:47:40
|
||||
|
|
||||
