Гротек опубликовал опус про получение Eset NOD32 сертификата ФСТЭК «высшего класса К1». Даже и не знаю, кто этот бред писал ;-( Непонимание не только термина «конфиденциальная информация», но и ФЗ «О персональных данных», системы сертификации ФСТЭК и «четверокнижия» ФСТЭК.
Зашел у меня тут разговор с коллегами, которые работают
Тут в одном закрытом клубе по ИБ зашла речь о регуляторах
Побуду сегодня Капитаном Очевидность, но на прошлой
Я стараюсь в последнее время не писать о законодательстве
Думаю, многие из вас если не знакомы с законом Гудхарта
Практическая безопасность, описанная в прошлой заметке, —
На сайте компании тоже ерунда написана. Про своеобразный пиар уже говорили ну пригласили бы хоть консультантов. А то "лидеры ЗИ" настолько безграмотно пишут…
Господа, подскажите пожалуйста, необходима ли лицензия организации, занимающейся проведением мероприятий по организаиции и тех. обеспечению безопасности ПнД?
Коротко говоря, может ли какой-нибудь ИП предлагать свои услуги по классификации ИСПДн, определению актуальных угроз, строить модели, устанавливать сертфицир. ПО и тех. средства и т.п.?
Заранее спасибо за ответ.
Этот комментарий был удален автором.
1. В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
Так же см. статьи на сайте wikisec.ru
"Реализация требований 152 ФЗ" и "Порядок создания системы защиты персональных данных" там же ссылка на документ
Если короче, то для себя лицензия не нужна, для оказания услуг другим — обязательно.
Очень даже они молодцы.
Хитро повернули систему в свою строну. Вписали себе в ТУ требования из "четырехкнижия" по К1, вот тебе и К1 🙂
См. цитату из их сертификата (http://www.tsarev.biz/wp-content/uploads/2009/10/fstek-eset1.JPG).
ЗЫ. Зря по системам оценки защищенности требований нет…
Куда интереснее сертификата — почитать ограничения в формуляре и ТУ !
Спасибо большое за ответы, господа. Но вот вопрос, если контора заявляет себя лишь как "Консультурующую в области защиты ПДн", или тем паче "Поставщиком сертифицированного оборудования" (а фактически покупает там и продаёт здесь — проводя его установку и объясняя на пальцах) — можно ли говорить о том, что её действия не подпадают под понятие ТЗКИ согласно Положению Првительства № 504 "О лицензировании деятельности по ТЗКИ"?
Подпадают… есть две лицензии ФСТЭК. (wikisec не читали 🙂 )
1. «Осуществление деятельности по технической защите конфиденциальной информации»;
2. «Осуществление деятельности по разработке и(или) производству средств защиты конфиденциальной информации».
В лицензии прописываются конкретные виды деятельности… разработка, реализация, и т.п.
А лицензия по ТЗКИ тоже подразделяется.
На мероприятия и (или) оказание услуг.
Так что "Консультурующую в области защиты ПДн" контору надо лицензировать именно по "оказанию услуг"
Кстати, не согласен с автором блога, что "для себя лицензия не нужна". А кому тогда получать лицензию по ТЗКИ на "мероприятия"?
2 Ledokol
У Вас есть великолепная возможность уточнить вопрос у первоисточника…
http://www.fstec.ru/_razd/_osn.htm
LEDOKOL, а откуда взяли про разделени лицензий? В каком документе?
To Евгений Родыгин.
Я не понял, Евгений, ЧТО мне надо уточнять во ФСТЭКе?
За ссылочку спасибо, но она зачем?
На что дальше там жать?
Телефоны, адреса и фамилии я и так прекрасно знаю.
К кому Вы предлагаете обратиться, а главное, для чего?
Вы хотите сказать, что если Вы у себя построили ИСПДн (К1, К2, К3 распр.) и ее эксплуатируете, при этом не заключив договор с лицензиатом ФСТЭК на аутсорсинг, то Вам не нужна лицензия??!!
Ну-ну, блажен, кто верует…
To Евгений Родыгин.
Я не понял, Евгений, ЧТО мне надо уточнять во ФСТЭКе?
— Уточните Ваш вопрос по лицензиям.
За ссылочку спасибо, но она зачем?
На что дальше там жать?
Телефоны, адреса и фамилии я и так прекрасно знаю.
К кому Вы предлагаете обратиться, а главное, для чего?
— для того чтобы уточнить Ваш вопрос.
Вы хотите сказать, что если Вы у себя построили ИСПДн (К1, К2, К3 распр.) и ее эксплуатируете, при этом не заключив договор с лицензиатом ФСТЭК на аутсорсинг, то Вам не нужна лицензия??!!
— если бы хотел так сказать — так бы и сказал!
Ну-ну, блажен, кто верует…
—
Блажен, кто верует, не видевши Тебя.
А где же — миру Свет, слепцам — прозренье?
Слепая вера есть и у меня,
Вот только не дает мне утешенья.
Лишь знаю, что в Твоих руках судьба,
И право: ставить справа или слева.
Свободного Ты любишь иль раба?
Святого иль вкусившего от древа?
Сказал: "Стою у двери и стучу."
Блажен, кто слышит…Сердцем замирая,
Я так услышать голос Твой хочу,
Еще хочу любить — Любви не зная.
Есть двери разные: парадные и нет,
И есть дома, что чистотой сверкая —
Стоят и ждут. В них есть огонь и свет,
И Ты стучишься в них, — других не зная?
Мой дом же пуст, открытый всем ветрам.
Погас огонь, не давши обогреться.
Лишь пыль гоняет ветер по углам
Измученного, раненого сердца.
Прости…То не укор , то — боль моя,
Не осужденье — стон, не ропот — мука.
Не слышу я, хоть Ты услышь меня!
Молю, прошу — войди ко мне без стука.
To С.
Не о "разделении", а о ПОДразделении. И почему взял?
Прочитал…
Посмотрите п.2 Положения, утв. ПП 504 от 15.08.2006:
http://www.fstec.ru/_razd/_lico.htm
На лицензии по ТЗКИ написано: "ФСТЭК разрешает осуществление мероприятий и оказание услуг по ТЗКИ".
Это если Вы заявляетесь на полную лицензию.
А если "тока для сэбе" — то пишут просто "осуществление мероприятий" и тогда услуги Вы не имеете права оказывать под страхом КоАПа.
И наоборот.
Возвратясь к п.2 ПП 504, обращаю внимание на вот это: "и (или)".
О чем это говорит?
О том, что может быть или "мероприятия" или "оказание услуг" или же и то и другое вместе.
Вот, собственно и все…
Вот это да!!!!
Евгений, спасибо!
Не могу узнать автора — не подскажете?
Стихотворение сохраняю и печатаю.
А по лицензиям действительно не понимаю — что уточнять?
Правильность или неправильность ПП 504 и Административного регламента?
Да и не вопрос был у меня, а ответ…
2 Ledokol
Судя по блогерным настроениям(постам), больной голове и т.п. подозреваю сегодня были магнитные бури…
Попив кофейку и съев таблетку — понял что спутал Вас с автором "С" который вопрос задавал… каюсь…
По лицензиям:
1. Те кто занимается распространением программно-аппаратных средств защиты и технических средств, сертифицированных ФСТЭК — лицензия ТЗКИ не нужна.
2. Те кто занимается настройкой программно-аппаратных средств и технических средств, сертифицированных ФСТЭК — лицензия ТЗКИ нужна.
Таким образом Вы можете проводить предпроектное исследование и поставлять средства защиты информации без внедрения (настройки) в организацию.
Как только речь идет о настройке, то сразу должна вырисовываться лицензия ТКЗИ.
Евгений, все нормально!
Рад разговору с Вами.
Стихи великолепны!
Анонимному: +1
Спасибо за уточняющее дополнение.
В соответствии с "Положение о государственном лицензировании деятельности в области защиты информации. (Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 27 апреля 1994 г. №10(с изменениями и дополнениями от 24 июня 1997 г. №60))"
Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию Гостехкомиссией России (ФСТЭК России).
Разработка, производство, РЕАЛИЗАЦИЯ, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации.
на сайте ФСТЭК России или на wikisec.ru статья "Порядок лицензирования ФСТЭК России".
Однако,
Представители ФСТЭК России иногда толкуют по разному. Надеюсь со временем все встанет на свои места…
10-е решение никому не интересно ибо статус этого документа очень непрост 😉 Особенно ввиду выпуска ФЗ-128 и ПП-504.
128-ФЗ: распростр. на
деятельность, связанная с защитой государственной тайны;
— что бы это значило ? без иронии.
ПП-504:
3. Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю (далее — лицензирующий орган).
Вернулись к ФСТЭК, однако, ФСТЭК учел все положения ПП-504 ?
Перечень лицензируемых видов деятельности не может определяться органом исполнительной власти — это не в его компетенции.
Нет Вы послушайте его — ОН мне говорит что Я ОПТИМИСТ !!!
Никто не заметил что
"128-ФЗ: распростр. на
деятельность, связанная с защитой государственной тайны;
— что бы это значило ? без иронии."
надо писать НЕ распростр…
128-ФЗ
http://www.consultant.ru/popular/license/38_1.html#p325
17 статья со всякими правками.
Вопрос о действии только.
10) деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
11) деятельность по технической защите конфиденциальной информации;
И?