Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 След.
Уникальный проект подготовки специалистов в области информационной безопасности - КРИПТОГРАФИЯ. Обучение начинается с 1-ого октября 2012 г.
Да, такая проблема имеется.
Вы сами в соседней ветке (Лицензирование) давали ссылку на статью Дмитрия Левиева, в которой он подробно останавливался и на этом казусе тоже.
Выход есть? Есть.
Представляйте документы по высшему образованию, переподготовке, повышению квалификации и по стажу работы. Комиссия, которая к вам приедет уже на месте определит (в том числе и путем опроса) насколько тот или иной сотрудник подготовлен к работе в заявленной области.
Поверьте - с комиссией можно и нужно работать в режиме диалога и не стесняться доказывать свою правоту.
С уважением, Шахалов И.Ю.
Уникальный проект подготовки специалистов в области информационной безопасности - КРИПТОГРАФИЯ. Обучение начинается с 1-ого октября 2012 г.
Гостю.
ФСБ глаза на стаж не закроет. Стаж должен быть.
Поэтому обучать лучше тех, кто уже проработал по этой теме несколько лет, но не имел пока переподготовки.
С уважением, Шахалов И.Ю.
Лицензирование деятельности при защите персональной информации.
Kutyrs, добрый день.
Никто и не спорит, что письма об одном и том же.
Только во втором акцентируется, что нет такой деятельности по ТЗКИ - "для собственных нужд".
Любая деятельность по ТЗКИ подлежит лицензированию.
А далее вступает на арену 58 приказ, который подтверждает положения 781 ПП.
Я имею ввиду п. 1.3 самого приказа:
Код
1.3. Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.
Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.


Первый абзац говорит, что деятельностью по ТЗКИ может заниматься сама организация (лицензия обязательна - см. письмо Селина).
Второй абзац говорит, что может привлекаться лицензиат, тогда лицензия этой организации не нужна.
Вот как-то так.

А по поводу Элвис Плюс, я думаю, Вы не совсем правы.
Дело в том, что лицензиаты такого уровня, как Элвис Плюс, Эшелон и т.п. выступают не как простые лицензиаты, получившие лицензию только для участия в тендерах или просто "для галочки". Они являются как бы толмачами - проводниками между регуляторами и всеми другими организациями. Не посчитайте за пафос.
Слушать толмачей и доверять проводникам или не делать этого - решать каждому самостоятельно.
Изменено: Игорь Ю. Шахалов - 18.01.2011 14:08:16
С уважением, Шахалов И.Ю.
Лицензирование деятельности при защите персональной информации.
Впрочем, я думаю, что для других это письмо тоже представляет интерес - привожу ссылку на него:

http://www.minzdravsoc.ru/docs/others/15/img1303.jpg

Для полноты анализа и сопоставления приведу текст письма Гапонова в ЦБ РФ:

http://imageshost.ru/photo/292747/id10977.html

Заодно исправлю самого себя (прошу прощения, что ввёл в заблуждение).
Это письмо не от 2005 года, а вообще от 2002!
Забывать стал...


И в дополнение.
Могу привести мнение ещё одного крупного игрока на рынке системной интеграции в области телекоммуникационных, сетевых и информационных технологий, а также в области сетевой информационной безопасности - ЭЛВИС-ПЛЮС.

http://www.elvis.ru/PDFAQ.shtml
Изменено: Игорь Ю. Шахалов - 17.01.2011 17:24:42
С уважением, Шахалов И.Ю.
Лицензирование деятельности при защите персональной информации.
Цитата
Kutyrs пишет:
Игорь, это все хорошо, но также известен и ответ ФСТЭК Банку России относительно лицензирования по ТЗКИ.
Kutyrs, я знаю это письмо, оно широко известно.
Подписано Заместителем Директора ФСТЭК Гапоновым Александром Ефимовичем в (внимание!!!) 2005 году.
В то время требования к защите конфиденциальной информации не были явно прописаны в законодательных актах РФ, обязательность их исполнения лежала только на организациях, обрабатывающих информацию, входящую в государственные информационные ресурсы.
Для всех остальных, в том числе, ЦБ РФ (в рамках банковской тайны) были даны рекомендации.
Поэтому и занимались ТЗКИ только коммерческие организации.
В июле (внимание!!!) 2006 года был принят 152 ФЗ и с этого момента защита конфиденциальной информации (в части персональных данных) стала обязательной для всех.
Именно с этого момента пошло разночтение законов.

Но! Деятельность есть деятельность, несмотря на то, что организация оказывает услуги или проводит мероприятия по ТЗКИ "самой себя" - и ничего здесь не поделаешь.
Поэтому в (внимание!!!) 2010 году появилось ещё одно письмо на эту же тему, подписанное Первым заместителем Директора ФСТЭК Селиным Владимиром Викторовичем.
Если в 2005 году отвечали ЦБ РФ, то теперь ответ был для Минздравсоцразвития, то есть статус писем соответствует.
Правда, чаще всего противники обязательности получения лицензий ссылаются на письмо от 2005 года и забывают про письмо от 2010 года - так удобнее, наверно, спорить (к Вам лично не относится - я не знаю Вашу осведомлённость про письмо от 2010 года).

Но правильно ли?

Цитата
Kutyrs пишет:
Вот если бы в приказе № 58 (а лучше - в 152-ФЗ) явно было указано на необходимость получения лицензии - тогда да, а пока все довольно *WOW* .
Согласен, нормативно-правовые акты по защите ПДн можно было бы подкорректировать по некоторым критериям и положениям.
Но, в данном случае, отсутствие в одном из ФЗ (152) подтверждения требований другого ФЗ (128) отнюдь не умаляет значение последнего и не корректирует его.

Согласны?

А Вы, Максим?

P.S.
Если нужна ссылка на письмо от 2010 года - могу привести.
С уважением, Шахалов И.Ю.
Лицензирование деятельности при защите персональной информации.
Цитата
Максим пишет:
Игорь Ю. Шахалов
Я вот все читаю, читаю ваши обоснования про необходимость лицензии на ТЗКИ, и все равно мне не понятна одна вещь. Если все так очевидно и однозначно, то почему ФСТЭК не сделал до сих пор официальное заявление или не включил это требование в нормативные документы (а наоборот исключил)? Просто иначе все превращается в пинпонг..., при котором все остаются при своем мнении.
Максим!
Мнение сотрудников ФСТЭК, неоднократно озвученное как официально (на форумах. семинарах и конференциях), так и в неофициальных беседах.
58 приказ расставил все точки над "i" и привёл документы нормативно-методические документы ФСТЭК в соответствие с действующим законодательством в области лицензирования отдельных видов деятельности.
ФСТЭК 128 ФЗ не корректирует и не изменяет никоим образом (да, и не имеет на то права), следовательно вся деятельность по ТЗКИ подлежит лицензированию.
Другое мнение, получается - неправильное.
С уважением, Шахалов И.Ю.
Лицензирование деятельности при защите персональной информации.
Цитата
Гость пишет:
Добрый день.
С лицензией ФСТЭК на ТЗКИ более менее понятно. Но есть еще один вопрос: необходима ли лицензии ФСБ на криптозащиту, если при создании защищенной ИСПДн используются, например, Криптопровайдер КриптоПро CSP и VipNet Coordinator HW 1000???
Позиция ФСБ в этом вопросе неоднократно и однозначно озвучивалаясь на различных форумах, семинарах и конференциях.
Суть этой позиции.
Существует четыре вида лицензий на деятельность по криптографии:
- на деятельность по распространению шифровальных (криптографических) средств;
- на деятельность по техническому обслуживанию шифровальных (криптографических) средств;
- на предоставление услуг в области шифрования информации;
- на разработку, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.
Лицензионные требования по получению указанных лицензий приведены в Постановлении Правительства РФ от 29 декабря 2007 г. № 957.

Лицензии на эксплуатацию криптосредств нет, поэтому, если Вы только пользуетесь созданной кем-то системой, лицензию можете не получать.
С уважением, Шахалов И.Ю.
Лицензирование деятельности при защите персональной информации.
Цитата
Oleg пишет:
Игорь, выше вы писали "Исходя из того, разработка ИСПДн = деятельности по ТЗКИ". Может имелось ввиду разработка системы защиты? А то ИСПДн у многих уже давно существует и разрабатывать их не нужно.
Oleg, да, конечно, Вы правы.
В повседневной нашей жизни под "разработкой ИСПДн" как раз-таки и подразумевается "разработка системы защиты ИСПДн".
Этакий сленг образовался.
:)

Спасибо за поправку!
Впредь постараюсь быть более точным в формулировках.
С уважением, Шахалов И.Ю.
Лицензирование деятельности при защите персональной информации.
Цитата
Kutyrs пишет:
А разве эксплутация ИСПДн не входит в комплекс мероприятий и/или услуг по ТЗКИ (если уж по большому счету)?
Kutyrs, добрый день!
Нет эксплуатация не входит, даже по большому счёту.
Одно дело - создавать, монтировать, настраивать и другое дело - просто пользоваться.

Цитата
Kutyrs пишет:
Если на коммерческую деятельность, т.е.оказание услг по ТЗКИ, получение лицензии еще оправдано, то на осуществление мероприятий - возникают большие сомнения, т.к. стоимость защиты информации может превысить ценность этой информации.
И не надо!
Позволю процитировать самого себя из другой ветки:

"Затраты на защиту информации не должны превышать экономический ущерб в случае отказа от такой защиты.
Более того, эти затраты должны быть ниже предполагаемого ущерба.
А вот под экономическим ущербом надо понимать все риски - утечка, повреждение, уничтожение (и т.п.), а также возможные судебные иски и санкции регуляторов."
С уважением, Шахалов И.Ю.
Лицензирование деятельности при защите персональной информации.
Цитата
Гость пишет:
Спасибо Игорь Ю. Шахалов за разъяснения, но теперь появляется ещё больше вопросов.
А именно, одним из пунктов для получения лицензии на ТЗКИ является наличие откалиброванного измерительного оборудования, испытательные стенды если не отдельная лаборатория. В нашем случае, при использовании сертифицированных, сугубо программных продуктов для реализации защиты Пдн, резонность приобретения какого-либо измерительного оборудования крайне сомнительна.
К сожалению, ПП 504 и 128 ФЗ написаны так, что лицензию без этой аппаратуры не дадут.
Вам, если вы не собираетесь аттестовывать объекты для третьих лиц, она не нужна, да и стоимость её 1,5 - 2 млн.
Остаётся один выход - аренда.
Но это надо искать у кого.

Если хотите подробно поговорить - спрашивайте.
С уважением, Шахалов И.Ю.
Лицензирование деятельности при защите персональной информации.
Олег, это ответ на Ваш пост.

Цитата
Олег пишет:
В случае инцидента с машиной никто и не будет предъявлять обвинений, ведь в машину человек сел сам, его никто не принуждал.
К сожалению, Вы ошибаетесь.
Водитель средства повышенной опасности (автомобиля) априори несёт ответственность за жизнь и здоровье своих пассажиров. Любых.

Цитата
Олег пишет:
А в случае с обработкой ПДн работодателем - человек при приеме на работу дает согласие на обработку своих ПДн и может потребовать объяснений как они будут обрабатываться, храниться и уничтожаться. При этом считаем, что работодатель выполнил все орг. и тех.требования по 152-ФЗ, кроме получения лицензии.
Работника должны ознакомить с документами, если он принял их, то вопросов не будет. Если не стал знакомиться, но при этом согласие все равно дал, то это не проблема организации.
С этим согласен полностью.
Но работник может точно также потребовать возмещения убытков (моральных и материальных) в случае утечки его ПДн.
И прокурор также возбудит дело - это его работа, ничего личного.

Цитата
Олег пишет:
Включусь в эту дискуссию: приведите, пожалуйста, ссылку на нормативный документ, где это явно прописано.
Правильно ли я предполагаю, что речь идет обо всех системах, а не о К2?
Ссылки на документы есть практически в каждой ветке этого раздела форума - только это и обсуждаем.
Исходя из того, разработка ИСПДн = деятельности по ТЗКИ.
Основания можно прочитать в статьях.
Дам ссылку на свою и не на свою, хорошо?
Итак, на мою, на этом сайте: http://www.npo-echelon.ru/about/articles/licence.php
На статью Шмелёва П.В.: http://www.fz152.ru/articles/120-article003.html
С уважением, Шахалов И.Ю.
Лицензирование деятельности при защите персональной информации.
Гостю оз Орска!

Вам же уже было сказано однажды - забудете про воспитание - будете разговаривать сами собой.

Всем для справки.
Один из посетителей форума забанен после нескольких предупреждений, сделанных ранее.
Санкции применены за нарушение правил форума.
С уважением, Шахалов И.Ю.
Лицензирование деятельности при защите персональной информации.
Цитата
Oleg пишет:
Может вы перепутали с другим Олегом меня? Там писал Олег с ником по-русски.
Цитата
Олег пишет:
То сообщение было написано не мной.
Приношу свои извинения обоим Олегам.
Впредь буду внимательнее.
Спасибо за понимание.
С уважением, Шахалов И.Ю.
Лицензирование деятельности при защите персональной информации.
Цитата
Гость пишет:
И конечно же главное, необходима ли лицензия на ТЗКИ при использовании исключительно программных продуктов (Сертифицированных ОС, антивирусов и фаерволов)? Будет ли достаточным наличие у ответственных за защиту ПДн сотрудников дипломов о высшем профильном образовании или сертификатов о прохождении соответствующих курсов. Или лучше за ответами обращаться к представителям ФСТЭК в нашем регионе?
Пока писал предыдущий пост, от Вас пришел новый вопрос.
Отвечаю.
Смотря что ваши спецалисты делают, чем занимаются.
Если только эксплуатацией ИСПДн, то достаточно.
Если же мероприятиями и/или оказанием услуг по ТЗКИ - то у организации должна быть лицензия.
В данном случае под термином "мероприятия" надо понимать, в первую очередь, защиту КИ собственной организации (включая ПДн сотрудников и клиентов).
В том числе это относится к разработке ИСПДн, монтажу, наладке и настройке средств защиты информации, а потом и аттестации системы в целом.

Резюме.
Наличие у сотрудников соответствующей подготовки, подтверждённой документально, дает право ОРГАНИЗАЦИИ эксплуатировать, а не создавать ИСПДн.
Изменено: Игорь Ю. Шахалов - 13.01.2011 17:32:04
С уважением, Шахалов И.Ю.
Лицензирование деятельности при защите персональной информации.
Спасибо за благодарность.

Всё не совсем так, как Вы написали.
Обязанность документального подтверждения соотвествия вашей ИСПДн требованиям ИБ лежит исключительно на Вас.
ФСТЭК не будет выдавать Вам никаких разрешительных или подтверждающих документов по одной простой причине - это не её (Федеральной службы) компетенция.
ФСТЭК является регулирующим органом и выполняет функции, в том числе, определения способов и методов защиты информации, а также контроля правильности их выполнения.
Другими словами, ФСТЭК приходит и проверяет, что сделано у Вас и выдаёт рекомендации по устранению недостатков, либо применяет штрафные санкции.
Максимум, что можно сделать - попросить Ваше региональное Управление ФСТЭК проверить (даже не согласовать!) какие-либо Ваши документы - Модель угроз, Положение о защите информации, Концепцию и т.п., т.е. Ваши внутренние руководящие документы, самые "главные" в иерархии таких документов.

А если к Вам придёт с проверкой Роскомнадзор или Прокуратура или МВД или ФСБ и т.п. проверяющая организация, и увидит, что у Вас функционирует ИСПДн с какими-то непонятными (для них), т.е настандартными документами, да ещё и выданными не лицензиатом ФСТЭК, тогда любая эта проверяющая организация вправе обратиться в региональное Управление ФСТЭК с просьбой провести экспертизу или проверку на соответствие выполнения установленных требований ИБ.

Я не пишу страшилки. Это действительность.
Чаще всего, кстати, проводятся не плановые, а неплановые проверки. И чаще всего после поступления какой-либо жалобы в Прокуратуру или УБЭП.
Как правило эти жалобы идут от "несправедливо уволенных" бывших членов коллектива.
Это уже статистика. Неофициальная.

Кстати, практика показывает, что если система аттестована лицензиатом и выдан аттестат соответствия, то другие проверяющие ФСТЭК обычно не тревожат.

Только не бросайте в меня тапками!
Это не реклама лицензиатов ФСТЭК в общем и нас в частности.
Это "сермяжная правда жизни" (С).
С уважением, Шахалов И.Ю.
Что может сделать оператор ПДн без получения лицензии на ТЗКИ
Цитата
Гость пишет:
Очень правильный ответ, я согласен.
Мы вот договорились с интегратором, что все бумаги получаем от них, утверждаем у себя в организации, по составленному проекту системы защиты пдн заносим деньги в бюджет...клянчим деньги из бюджета, и когда нам их дадут и средства зищиты будут куплены - интегратор их внедряет попутно составляя тех паспарта.
Спасибо за оценку.
Указанный вами вариант действий наиболее распространён при работе с бюджетными организациями.
Так что всё верно.
С уважением, Шахалов И.Ю.
Что может сделать оператор ПДн без получения лицензии на ТЗКИ
Цитата
Максим пишет:
Игорь Ю. Шахалов
ЧМУ имхо частная модель угроз
Максим, я тоже так подумал.
Но почему "частная"?
А где же "полная" или как там ещё?..
:)

Поэтому спросил...
С уважением, Шахалов И.Ю.
Что может сделать оператор ПДн без получения лицензии на ТЗКИ
Цитата
Леошко А.Н. пишет:
Интересно узнать мнение Игоря Ю. Шахалова по этому вопросу.
Уважаемый Леошко А.Н.!
Прошу прощения - давно в эту ветку не заходил.

Про аттестацию ИСПДн неоднократно обсуждали в форуме.
Посмотрите, пожалуйста, здесь (пост № 69):
http://ispdn.ru/forum/index.php?PAGE_NAME=message&FID=7&TID=660&sphrase_id=12849&PAGEN_2=5
Можно в других ветках поискать.

В дополнение и для уточнения ответа на Ваш вопрос, могу добавить следующее.
Вы вправе отказаться от аттестации как таковой - никакой документ не требует иметь именно аттестат.
Но тогда Вам должны дать какой-то другой документ, удостоверяющий, что система защиты ИСПДн соответствует требованиям информационной безопасности, предъявляемых к ИСПДн определённого класса.
Как этот документ будет называться - это продукт Вашего согласия с интегратором.
Но это однозначно не может быть ни договор (по этому документу работы только будут проводиться), ни ЧМУ (кстати, а что это?), ни, тем более, план мероприятий (это всего лишь план, т.е. то, что Вы только хотите сделать).
Другое дело, что интеграторы, как правило, работают по рекомендациям ФСТЭК, т.е. по СТР-К.
А СТР-К под оценкой соответствия подразумевает только аттестацию.
Но, специально для противников термина "аттестация", повторяю - конечный документ можете назвать как угодно - акт, заключение, решение и т.п.
Изменено: Игорь Ю. Шахалов - 17.01.2011 19:12:46
С уважением, Шахалов И.Ю.
Что может сделать оператор ПДн без получения лицензии на ТЗКИ
Цитата
Павел пишет:
Решение ФСТЭК на их официальном сайте есть. Просто они его запрятали
http://www.fstec.ru/_docs/doc_781_1.htm
Опаньки!
А я-то его не нашел!

Спасибо!
С уважением, Шахалов И.Ю.
Что может сделать оператор ПДн без получения лицензии на ТЗКИ
Цитата
Леошко А.Н. пишет:
Могли бы Вы дать ссылку, где говорится что они отменены?
Да, документ, который Вы цитируете отменен.
Но вряд ли Вы найдёте ссылку на его отмену в Интернете.
Первоначально "ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ" входили в так называемое "четырёхкнижие", утверждённое Директором ФСТЭК 18 февраля 2008 года.
Но, подписанный 2 февраля 2010 года, зарегистрированный в Минюсте 19 февраля и втупивший в силу 15 марта всё того же 2010 года Приказ Директора ФСТЭК № 58
http://www.fstec.ru/_docs/doc_781.htm
"перекрыл" два документа из четырёх, в том числе, указанный Вами.
Так как всё "четырёхкнижие" было введено в действие внутренним приказом ФСТЭК и не было зарегистрировано в Минюсте, то и отменены эти два документа были внутренним приказом ФСТЭК, который, как Вы понимаете, не подлежит опубликованию в Интернете.
Правда, сообщение об этом очень короткое время можно было увидеть на сайте ФСТЭК в марте 2010 года.
В качестве подтверждения могу только дать ссылку на перечень документов на официальном сайте ФСТЭК, где Вы не найдете "Основных мероприятий...".
http://www.fstec.ru/_razd/_isp0o.htm
Изменено: Игорь Ю. Шахалов - 13.01.2011 16:01:34
С уважением, Шахалов И.Ю.
Страницы: 1 2 3 4 5 6 7 8 9 След.