Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
право на установку средств защиты
Добрый день. Я являюсь техническим специалистом в гос организации, в которой имеются сети ИСПДн, вопрос следующий. Имею ли я право устанавливать средства защиты (Secret Net, Vipnet, Kaspersky) или же организация должна оплачивать услуги специализированных специалистов. Сертификатов лично я не имею. Вопрос интересен с юридической точки зрения. Заранее благодарю за ответ!
ПП79, п. 4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:

е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

Главный вопрос, на который однозначного ответа нет, осуществляете ли вы деятельность по ТЗКИ? По ГК деятельность=действия по извлечению прибыли. По опыту - если квалификация позволяет, ставьте и не парьтесь, даже если это нарушение, то выявят его только при проверке ФСТЭК (под нее надо еще попасть), а срок давности по этому нарушению - 3 месяца.
Марат, прочитайте ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК от 30 мая 2012 г. N 240/22/2222 ПО ВОПРОСУ НЕОБХОДИМОСТИ ПОЛУЧЕНИЯ ЛИЦЕНЗИИ ФСТЭК РОССИИ НА ДЕЯТЕЛЬНОСТЬ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ.

"Получение юридическим лицом лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации является обязательным в случае, если эта деятельность направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации и (или) она необходима для достижения целей деятельности, предусмотренных в учредительных документах юридического лица, а также если это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциальной информации при ее обработке в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации" по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы.
В случае, если деятельность по технической защите конфиденциальной информации не направлена на достижение целей деятельности, предусмотренных в учредительных документах, и (или) не связана с получением прибыли от выполнения указанных работ или оказания услуг, решение о необходимости получения соответствующей лицензии может быть принято юридическим лицом самостоятельно в соответствии с законодательством Российской Федерации."

Это значит, что если деятельность не связана с получением прибыли (вы не оказываете услуги по ТЗКИ), то можете устанавливать СЗИ сами, не получая для себя лицензию и не привлекая сторонних лицензиатов.
Цитата
Настя пишет:
не получая для себя лицензию и не привлекая сторонних лицензиатов.
А вот про "не привлекая лицензиатов" там ничего не написано. Письмо очень хитрое. В законодательстве нет понятия "собственных нужд" для ТЗКИ (а вот для СКЗИ оно есть). Поэтому письмо можно понимать так, что если не извлекается прибыль, то ЮЛ самостоятельно принимает решение: либо получать лицензию и делать самим, либо привлекать лицензиата.
Страницы: 1
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)