|
05.03.2010 08:04:16
Да, и в 1.4. написано, что "выбор и реализация методов и способов защиты информации...осуществляется оператором на основе определяемых оператором угроз...". Соответственно, оператор может уйти от использования "средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия", конечно за исключением систем 1 класса (4НДВ).
В |
|
|
|
|
|
05.03.2010 09:38:10
До появления на свет 4-книжия ФСТЭК мысль о необходимости лицензирования деятельности по защите собственной информации в голову никому не приходила, а 128ФЗ применялся к лицензированию основной деятельности организации. Но никак не к побочной. Я уже приводил аналогию с пожаротушением: поскольку в офисах стоят огнетушители и при возгорании работники обязаны предпринять меры к тушению, то почему бы не обязать еще и получать лицензию на "производство работ по монтажу, ремонту и обслуживанию средств обеспечения пожарной безопасности зданий и сооружений" ? Компанию-лицензиата мы сейчас привлекли. Для аттестования ИСПДн. И установки исключительно сертифицированных  СЗИ. Никаких услуг по ТЗКИ мы оказывать не собираемся, только самозащита.
Но впереди у нас открытие нескольких новых офисов в других городах. |
|||
|
|
|
|
05.03.2010 10:31:56
Игорь Ю. Шахалов писал:
Изменений мало, но, самое, на мой взгляд, значимое - добавление в один из абзацев п. 2.1.: "использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия" Выделенные слова предусматривают применение сертифицированных СЗИ, что соответствует уже действующим документам. Уточните - каким нормативным, юридически значимым, действующим документом определено, что сертификация - это установленная процедура оценки соответствия средств защиты информации. |
|
|
|
|
|
05.03.2010 13:36:32
Всем добрый день!
кто нибудь мог бы здесь резюмировать те послабления по части требований (обсуждаемого Положения) предъявляемых к системам различных классов по сравнению с 4-ем. Заранее спасибо! По остальным вопросам мое мнение с коллегами совпадает. |
|
|
|
|
|
05.03.2010 21:38:00
Честно? Не знаю. Но, узнаю - сообщу. Мое мнение: http://ispdn.ru/forum/index.php?PAGE_...&PAGEN_2=5 Пост № 50.
Можете. На бумаге, в модели угроз. Модель же можно в одну фразу сделать: "Угроз внутренних и внешних нет, всё в шоколаде..." Но будут ли при этом ПДн защищены? Вопрос, однако...
Моё личное мнение Вы можете узнать, пройдя по ссылке, указанной в этом посте чуть выше.
С уважением, Шахалов И.Ю.
|
|||||||
|
|
|
|
05.03.2010 21:51:24
Андрей, а разве в 128 ФЗ говорится об основной деятельности? Название его помните? "О лицензировании отдельных видов деятельности" Статья первая:
А про пожаротушение, то, если Вы будете осуществлять "производство работ по монтажу, ремонту и обслуживанию средств обеспечения пожарной безопасности зданий и сооружений" без лицензии, пожарные Вас закроют в два счёта. Честные пожарные. Вы же эксплуатируете, а не заправляете огнетушители, правда? Так и с ТЗКИ (ИСПДн - частный случай).
Вот видите - привлекли таки лицензиата. Правильно. А чтобы не привлекать лицензиатов в других городах и платить дядям деньги, получите на центральный офис лицензию и осуществляйте аутсорсинг в дочках. Это себя окупит.
С уважением, Шахалов И.Ю.
|
|||||||
|
|
|
|
09.03.2010 10:11:39
Если о защите, то вопрос остается во всех случаях и сертифицированными и без. Сертификация вменяется только в обязанность, но не дает никаких гарантий. |
|||||
|
|
|
|
09.03.2010 12:47:07
Лицензирование монтажа и обслуживания средств пожаротушения уже , оказывается, отменено.  Но осталось требование по лицензированию деятельности по тушению пожаров.
Значит пожарные могли бы потребовать от предприятий лицензирования этого вида деятельности, чтобы разрешить гасить оными огнетушителями возможные очаги возгорания. Требовать лицензирования деятельности ТЗКИ - по защите собственной КИ - ФСТЭК решил только с 2006 года. А до того вся защита собственной КИ велась незаконно? |
|||
|
|
|
|
09.03.2010 14:28:42
Вопрос ставится на так. Если Вы пишете в модели угроз, что все в шоколаде и СЗИ не требуются - это вызовет сомнения у регулятора. Если же есть угрозы и применяются СЗИ - то будте добры использовать СЗи, прошедшие в установленном порядке процедуру оценки соответствия. О гарантиях 100% защиты никто, разумеется, не говорит. |
|||
|
|
|
|
09.03.2010 14:33:41
А здесь очень тонкий аспект. Вы защищаете информацию, владельцем которой является субъект ПДн (в отличие от той же КТ). Фактически, государство возложило на Вас обязанность оказать услугу субъекту ПДн. От нее не отвертеться, не так ли? Теперь все встает на свои места: Вы оказываете услугу человеку (не важно, на возмездной, зашитой в стоимость основной услуги, или безвозмездной основе). На это нужна лицензия. Если же безопасность во всех ее аспектах выносится на аутсорсинг, то лицензия Вам не нужна. Поправьте, если я не прав. |
|||
|
|
|
|
09.03.2010 15:32:12
Понятие персональных данных было известно и до 2006 года и 152-ФЗ. Указ Президента РФ 188 от 6.03.1997 отнес их к конфиденциальной информации. Любая организация осуществляет свою деятельность на основании соответствующего федерального закона, в которых определен конкретный круг КИ и обязанности по сохранению КИ.
Кроме того есть ФЗ о Коммерческой тайне, есть Трудовой кодекс налагающие на организацию обязанности по сохранению КИ и КТ, в том числе и ПДн. Согласно всему этому законодательству организация строит свою деятельность, организуя защиту своей КИ. 152-ФЗ лишь упорядочил работу организаций с отдельной областью КИ - персональными данными. Этот закон гарантирует субъектам сохранность их ПДн, попавшим на обработку операторам и определяет права субъектов. Закон обещает субъектам неприкосновенность их личной жизни, но не накладывает никаких обязанностей организациям оказывать в связи с этим дополнительные УСЛУГИ субъектам, типа обработки их персональных данных, помимо услуг по основному роду деятельности. Причем тонкий аспект, упоминаемый вами, выглядит как навязываемая услуга, небесплатная, да еще и скрытая. А в этом случае наступает противоречие с Законом РФ о защите прав потребителей (Ст.16 ч.2. Запрещается обусловливать приобретение одних товаров (работ, услуг) обязательным приобретением иных товаров (работ, услуг). Убытки, причиненные потребителю вследствие нарушения его права на свободный выбор товаров (работ, услуг), возмещаются продавцом (исполнителем) в полном объеме.). ПП 781 обязало ФСТЭК разработать нормативные правовые акты (Приказ 58) и методические документы. К первым относится Приказ 58, к методикам - "4-книжие". Методики носят рекомендательный характер и не могут налагать ограничения на деятельность, права, свободы и обязанности гражданина. Согласно Конституции РФ "Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения. (Ст.15 ч.3)" |
|
|
|
|
|
10.03.2010 08:35:20
Андрей [Пилотов],
Однако в соответствии со ст. 4 ФЗ 128
По-моему, самое веское основание для возложения на оператора обязанности по лицензированию деятельности ТЗКИ. Как бы то ни было, если сеть большая, то получение лицензии позволяет сэкономить на аттестации. И в ФЗ 128 не сказанно, что лицензированию подлежит только основная деятельность. А по поводу последней фразы приведенной цитаты - не то, чтобы регулирование не могло осуществляться иными методами, но операторов, кто должен получать лицензию огромное количество, и оптимальным вариантом с т.з. регуляторов, по-видимому, стало возложение на операторов обязанности по получению лицензии. ИМХО. |
|||
|
|
|
|
11.03.2010 10:24:38
|
|
|
|
|
|
14.03.2010 23:57:27
To Alekzander. Резюме на мой взгляд такое: 1) В целом снижены требования к функционалу СЗИ (управление потоками, количество циклов затираний и т.д), что удешевляет и упрощает работы. 2) Для владельцев НЕ государственых ИР не является обязательной аттестация ИСПДн, но является обязательным использование сертифицированных СЗИ и выполнение организационно-технических мероприятий (по принципу будут утечки-будут последствия и всё припомнят)). Смотри п.5 постановления 781. 3) Для владельцев систем с государственными ИР все по прежнему то есть сертифицированные СЗИ + аттестация, СТРК никто не отменял, и ПДн из перечня КИ не вычеркивал. 4) Для гос. ИСПДн К3 и ниже, сам не понял что нужно ) теперь, видимо у кого средства будут тот аттестуется, у кого нет, то нет. |
|||
|
|
|
|
25.03.2010 10:44:58
Не понимаю зачем эта тема всегда стоит в топе...если в ней толком ничего не обсуждается, а многоуважаемый представитель ФСТЭК - Евгений В. Казаков, у которого было бы интересно узнать мнение о некоторых спорных моментах, тут уже давным давно не появляется? ЗЫ. Предлагаю снять с топа! Есть тут более важные темы... |
||||
|
|
|
|||
