Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 5 6 След.
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
В реальном мире четкой границы нет, только в моделях реального мира
Я, думаю, что не запутаюсь:
1. Законодательный - законы, постановления Правительства, Приказы таких служб как ФСТЭК...
2. Организационный
2.1 Административный - приказы, распоряжения... подбор персонала по предприятию
2.2 Процедурный - положения, инструкции, политики, стандарты предприятия
3. Технический - контроль доступа к ресурсам, шифрование...
4.Физический -защита зданий, замки, охрана ...
Иногда, без соответствующего разрешения (лицензии, допуска...) нельзя заниматься некоторой деятельностью, в том числе и написание инструкций
:evil:
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
1. AlexG, конечно, можно даже при фактической установке, настройке и т.п. деятельности по ТЗКИ в договоре написать "Обучение сотрудников безопасным приемам работы с ПДн, т.е написать одно, а делать другое. Речь же о другом. Еще раз прямой вопрос: можно ли Леонтьеву открыто взяться за разработку по договору за вознаграждение с Оператором ПДн документов типа ЧМУ?
2.Политика относится к процедурному уровню (из законодательного, административного, процедурного, технического, физического уровней защиты информации), положение по защите в зависимости от содержания может относится и к процедурному и к техническому (если в нем будут приведены требуемые конкретные настройки подсистем защиты, таких как МЭ, IPS и т.д.). :) :D
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Я-то не потребую.
1. Какой предмет договора напишет Александр Леонтьев для извлечения прибыли? Я думаю такой "Разработка ОРД в составе..."ЧМУ".
Теперь, окончательный вопрос, является ли (для простоты конкретно)разработка частной модели угроз деятельностью по технической защите конфиденциальной информации на формальном и содержательном уровнях или нет?
На формальном - это все же этап в проектировании СЗИ для ИСПДн или нет?
На содержательном - это исходные данные для выбора (проектирования) методов и средств защиты в ИСПДн или нет?
Как я понимаю, в данном контексте лицензирование - это способ государства отсечь неквалифицированные действия в чувствительной для субъекта ПДн области.
Только не подумайте, что я на стороне государства, я хотел предостеречь Леонтьева
от необдуманного указания предмета договора, не все так просто.
2. Приказ о назначении администратора безопасности - это административный, а не технический уровень защиты ПДн и лицензирование здесь ни при чем. :D
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
AlexG, поправьте, если я не понимаю...
1. Итак, объект защиты - конфиденциальная информация, или более расширенно ПДн+ технологии+инфраструктура, короче ИСПДн
2.исходные данные для ЧТЗ по защите ИСПДн = уровень защищенности + частная модель угроз + базовый набор мер ФСТЭКа_->уточненный набор и т.д.
и в этой цепочке разработка частной модели угроз не этап проектирования объекта в защищенном исполнении?
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Цитата
AlexG пишет:
№79 2012г
AlexG, по Вашему мнению, входит ли в состав ОРД такие документы:
1. частная модель угроз
2. модель нарушителя
3. политика безопасности
4. положение по защите ПДн
и т.п., требования разработки которых вытекают из НПА?
Есть несколько способов "увильнуть" от лицензии на ТЗКИ (о паре Вы упомянули), а я дал развернутый ответ тому, кто решил зарабатывать деньги на защите ПДн. Или потенциальному заказчику не потребуются упомянутые мною документы!?
[ Закрыто] Нужна ли лицензия на составление документации?, Помогите разобраться в более юридическом вопросе.
Постановление Правительства РФ от 3 февраля 2012 г. «О лицензиро-вании деятельности по технической защите конфиденциальной инфор-мации»

В соответствии с Федеральным законом «О лицензирование отдельных видов деятельно-сти» лицензированию подлежит деятельность по технической защите конфиденциаль-ной информации (ТЗКИ).

Данное Постановление Правительства определяет, что «Под технической защитой конфи-денциальной информации понимается выполнение работ и (или) оказание услуг по ее за-щите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней».

В контексте защиты персональных данных представляет особый интерес следующая дета-лизация работ и услуг Постановления « При осуществлении деятельности по техниче-

ской защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:…

установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации)».

К программным средствам защиты информации относятся, в частности:

* Штатные средства разграничения доступа пользователей в операционных системах (подсистема управления доступом – идентификация, аутентификация, авториза-ция);

* Подсистемы антивирусной защиты;

* Подсистемы обнаружения и предотвращения вторжений (IDS/IPS);

* Подсистемы межсетевого экранирования (межсетевые экраны, персональные брандмауэры);

* Подсистемы архивирования и восстановления персональных данных;

К программным (программно-техническим) средствам контроля защищенности информа-ции относятся сетевые сканеры.

Учитывая, что согласно Указу Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» персональные данные отнесены к све-дениям конфиденциального характера вырисовывается следующая логическая цепочка:

1. Если Персональные данные – конфиденциальная информация

2. И, если Антивирус (и другие программные средства, перечисленные выше) – про-граммное средство защиты персональных данных, т.е. программное средство защиты конфиденциальной информации,

3. ТО для установки антивируса, программного средства защиты персональных дан-ных требуется наличие лицензии по технической защите конфиденциальной информации.

Возникает парадоксальная ситуация, когда на сотнях тысяч предприятий Российской Фе-дерации рутинные действия по установке операционной системы, антивирусного про-граммного обеспечения, межсетевых экранов считаются незаконными при отсутствии лицензии на ТЗКИ, только потому, что они используются для защиты персональных данных.

Многочисленные запросы во ФСТЭК побудили ее опубликовать «информационное сооб-щение по вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации» от 30 мая 2012 г. № 240/2222. Из этого сообщения следует, что лицензия на ТЗКИ необходима в трех случаях:

* Предприятие извлекает прибыль из деятельности по ТЗКИ (т.е. предоставляет услуги другим предприятиям);

* Деятельность по ТЗКИ указана в уставных документах предприятия;

* Защита конфиденциальной информации в явной форме поручена ее обладателем предприятию (т.е. предприятию поручена не обработка информации, которая должна защищаться по действующему законодательству, а именно техническая защита конфиденциальной информации).

Таким образом, если предприятие самостоятельно для своих нужд проектирует, разраба-тывает, внедряет, сопровождает технические средства защиты персональных данных, то лицензия на ТЗКИ не требуется. Остается только один вопрос, какую юридическую силу имеет информационное сообщение ФСТЭК, может ли оно изменить нормативную сущ-ность Постановление Правительства? :cry:
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
1)коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;
2) информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны;
Читайте Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне
:D
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
При обработке персональных данных, для защиты которых от нарушения безопасности (конфиденциальности, целостности и доступности) используются криптосредства, меры и средства, применяемые Оператором, определяются им в соответствии с приказом ФСБ №378.
Класс криптосредства зависит от модели нарушителя и уровня защищенности ИСПДн. Таким образом, меры по защите ключевой информации (деревянный шкафчик, металлический ящик, сейф…) зависят от потенциала нарушителя, взятой из модели.
В общем случае, хранение секретных ключей в файловой системе (реестре) компьютера не безопасно, так как ключи шифрования секретных ключей потенциально достижимы для нарушителей с высоким потенциалом (наличие знаний, инструмента …). По современным меркам надежные контейнеры для секретных ключей – активные съемные контейнеры, в которых выполняются все криптооперации.
Для получения более развернутого совета пишите: tur@kolch.elcom.ru с темой «персональные данные» :D
Журнал учета машинных носителей персональных данных
Илья, отвечаю более развернуто. В соответствии с действующим законодательством ваше предприятие для защиты ПДн должно принять организационно-технические меры, среди которых -разработка организационно-распорядительной документации (ОРД). Состав ОРД жестко не регламентирован и обычно содержит порядка 40-50 документов. Упомянутый Вами журнал входит в состав ОРД. На мой взгляд, чтение форумов недостаточно для понимания проблематики информационной безопасности. Полный комплект ОРД и методическое обеспечение могу выслать. Пишите с темой "персданные" в tur@kolch.elcom.ru :)
[ Закрыто] требуют ли аттестации базы 1С по приказу №17?
Федеральный закон «О персональных данных» требует оценивать эффективность прини-маемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных, а не баз данных. По действующему законодательству для оценки эффективности безопасности информационных систем используется аттестация. Однако, для проведения аттестации предприятие должно иметь лицензию на проведение работ по защите конфиденциальной информации.
Можно воспользоваться другой формой оценки эффективности, когда предприятие само-стоятельно доказывает (декларирует), что административные, процедурные и технические меры, принятые на предприятии, соответствуют всем требованиям законодательного уровня РФ по защите персональных данных.
Если надо более подробно, пишите tur@kolch.elcom.ru, тема "Персданные"
Пдн по телефону
21? 17 приказ ФСБ.
Вы передаете данные по сетям общего пользования и:
1. нужна идентификация - клиент сообщает идент. данные (имя ....)
2. аутентификация - он должен доказать свою подлинность (что он - это действительно он)
3. авторизация - вы предоставляете ему доступ к его перс. данным в соответствии с регламентом
[ Закрыто] Договор между фирмой и банком по зарплатному проекту. Нет поручения.
Анастасия, послушайте и меня.
1. ООО - оператор, без сомнения, т.к., он формирует цель, определяет состав ПДн и т.д.
2.Банк тоже оператор, но другой ИСПДн, с другими целями, сотавом ПДн и прочее. Банк защищает ПДн клиентов =физических лиц по своим также узаконенным требованиям по соответствующему стандарту.
3. ООО заключает договор с банком об указании обычной для банка услуги, т.е. банк
не является обработчиком в терминах 152 ФЗ
4.ООО не должен требовать у банка соблюдения безопасности по 2-м причинам: банк не обработчик по отношению к ООО, банк защитил ПДн клиентов (работников ООО) по своему стандарту.
Итог: Роскомнадзор не прав!
Вынос ПДн на материальных носителях за пределы контролируемой зоны.
Конечно регулируется:
1. Организация должна получить согласие субъекта на передачу его ПДн третьим лицам
2.Удостоверяющий центр должен обеспечить их безопасность на время действия договора иежду
ним и организацией (сертификат может быть отозван при компрометации секретного ключа и обрабатываться продолжительное время в УЦ - время его действия)
3.После истечения срока действия сертификата (и действия договора с организацией) ПДн должны быть уничтожены
[ Закрыто] Каким образом обосновать неактуальность применения системы обнаружения вторжений (COB.1 по 21 приказу ФСТЭК)
Средства обнаружения вторжения (СОВ) должны применяться в ИСПДн 1-го и2-го уровня защищенности (21 приказ) или любого уровня, если актуальны угрозы данного типа. Если у Вас ИСПДн 3 и 4-го уровней, то СОВ не нужны по определению. Если у Вас ИСПДн 2-го уровня защищенности, то СОВ должны быть 5-го класса, а для ИСПДн 1-уровня защищенности – 4-го класса. Смотрите, к какому классу относятся IDS применяемые Вами продукты Инфотекса. Если нужен более развернутый совет – пишите tur@kolch.elcom.ru с темой «персональные данные». :)
Сайт госоргана
Статья 152.1 ГК Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии - с согласия родителей. Такое согласие не требуется в случаях, когда: 1) использование изображения осуществляется в государственных, общественных или иных публичных интересах;
Образование сотрудника
Андрей, ссылку на законодательство в сфере защиты персональных данных "в студию"!
[ Закрыто] Исходная защищенность ИСПДн с доступом из интернета
AlexG, warabe задал вопрос (судя по контексту), обдумывая об исходном уровне защищенности ИСПДн, подступая к моделированию актуальных угроз безопасности. Если ИСПДн (для простоты) состоит из двух компьютеров клиента и сервера , расположенных в одной комнате Оператора, в которой не могут бесконтрольно находиться посторонние лица (контролируемая зона) и т.д., то можно формально по Вашему определению эту ИСПДн назвать распределенной. Последствия для модели угроз для такой ИСПДн в соответствии с методикой ФСТЭК будут плохими - низкий уровень защищенности. Если клиент и сервер (для примера опять) разделены Интернетом, то действительно такая ИСПДн имеет низкий уровень исходной защищенности.Видите противоречие! Думаю без контролируемой зоны не обойтись.
ПО определению ФСТЭК локальная ИСПДн - это ИСПДн развернутая в пределах одного здания.
Модель угроз и нарушителя
Нет, не между строк. Насколько я понимаю, модель вероятного нарушителя необходима для обоснования класса криптосредства, которое будет использоваться в качестве контрмеры для защиты конфиденциальности, исходя из модели угроз.[IMG]
Модель угроз и нарушителя
AlexG пишет:
Сергей Терехов, как вы думаете, поможет ваш "ответ" автору вопроса? Или вы вопросы не читаете?
Терехов ответил на второй вопрос,а именно, что, если используется криптозащита, то для определения класса криптосредства следует использовать измененное законодательство в виде 378 приказа ФСБ.
Модель угроз и нарушителя
Цитата
AlexG пишет:
Сергей Терехов, как вы думаете, поможет ваш "ответ" автору вопроса? Или вы вопросы не читаете?


Страницы: Пред. 1 2 3 4 5 6 След.