Конференция по вопросам информационной безопасности Четверг, 28.03.2024, 23:47
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
  • Страница 1 из 3
  • 1
  • 2
  • 3
  • »
Модератор форума: Kostik, anvolkov  
Форум » Персональные данные » Общие вопросы » ФСТЭК решает в пользу операторов (однако есть еще "подводные камни"...)
ФСТЭК решает в пользу операторов
anvolkov (Алексей Волков)Дата: Понедельник, 15.03.2010, 10:14 | Сообщение # 1
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
В соответствии с документом ФСТЭК, размещенном на их сайте здесь, с 15 марта 2010 года у операторов будет больше простора для маневра:
-----------------------------------
Утверждено
первым заместителем
директора ФСТЭК России
5 марта 2010 г.

Р Е Ш Е Н И Е

В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
----------------------

Приведу здесь краткий анализ того, что изменилось.

Первое, и самое главное - в руководящих документах ФСТЭК, наконец, исчезло требование использовать исключительно аттестованные и сертифицированные решения для технической защиты ИСПДн. Не может не радовать, правда? Однако радость эта преждевременна. Если мы взглянем на п. 5 ПП 781, то увидим буквально следующее: "Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия." Что это за установленный порядок такой? Установлен от ФСТЭК. Таким образом, мы имеем некоторое противоречие. Юристы говорят о том, что в этом случае надо как раз ссылаться на 58 Приказ той же ФСТЭК и соответствующее "Положение о методах и способах..." - которое повторяет в п. 2.1 фразу из 781-го, но далее, в п. 3.2, говорит о том, что "оцененные на соответствие" СЗИ могут применяться для защиты от ПЭМИН в ИСПДн 1 класса. Вот вам, что называется, и установленный порядок. Таким образом, если у Вас НЕ ИСПДн 1 класса, а также угрозы, связанные с утечками по техническим каналам, незначительны (ЭТО ВАЖНО - УЧИТЫВАЙТЕ ПРИ СОСТАВЛЕНИИ МОДЕЛИ УГРОЗ), то в принципе можете использовать ЛЮБЫЕ средства.

Главное, чтобы эти средства были ЛИЦЕНЗИОННЫМИ и обеспечивали:

1. Защиту от НСД
2. Антивирусную защиту
3. Межсетевое экранирование
4. Шифрование трафика (некриптографическими методами - иначе здесь шифрование по ГОСТ, включаются документы ФСБ, да и криптография необходима только в 1 классе)
5. Обнаружение вторжений.

Теперь еще об одном. Лицензирование по ТЗКИ. Нет в нем более необходимости, если деятельность по техзащите не является основной для Вашей организации, и ваша ИСПДн НЕ 1 класса. Если Ваша компания вяжет веники, но заботится о безопасности - лицензия ФСТЭК не нужна. А вот если оказывает услуги в сфере ИБ (есть соответствующий код ОКВЭД) - то будьте любезны, получите. Некоторые ссылаются на то, что еще остается 128-ФЗ и ПП504 с их требованиями об обязательном лицензировании деятельности по ТЗКИ… НО, юридическое мнение изложено выше. Мне не известен ни один прецедент разбирательства по поводу отсутствия лицензии на ТЗКИ в подобных случаях.

Есть и еще один важный момент. Это документ под названием СТР-К в части требований к госструктурам. Сейчас идут споры о том, как быть последним в связи с изменением подхода ФСТЭК. На этот вопрос для уважаемых представителей госструктур могу ответить одно: придерживайтесь общей политики руководства. Как оно скажет - так и делайте. Получается, что пока госструктуры должны использовать сертифицированные средства и в ряде случаев получать лицензии ФСТЭК и ФСБ. Я слежу за событиями, поэтому если появится новая информация - напишу. Если у читателей форума есть своя информация об этом, также прошу поделиться.

С уважением, А.Волков.

 
sot (Константин)Дата: Среда, 17.03.2010, 14:23 | Сообщение # 2
Рядовой
Группа: Пользователи
Сообщений: 4
Репутация: 0
Статус: Offline
Интересно, почему не требуется лицензия по ТЗКИ.
Ведь по 128-ФЗ и ПП504:
Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
Т.е. если я использую СЗИ от НСД, др. технические устройства или осуществляю др. мероприятия по защите информации от НСД ( парольная защита и т.п.), то я должен получить лицензию. Или я неправ?
 
anvolkov (Алексей Волков)Дата: Среда, 17.03.2010, 14:37 | Сообщение # 3
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
По букве закона - да, должны. Однако вот что пишет к.э.н., дипломированный специалист по безопасности информационных технологий, Лужецкий Михаил Георгиевич, в своей статье "10 способов снизить класс ИСПДн" (статья вышла в 2009 году, с тех пор много воды утекло, но я привожу выдержку без исправлений)

"Необходимость получения даже оператором ИС ПДн лицензии ФСТЭК РФ на
техническую защиту конфиденциальной информации (для ИС ПДн 1,2,
3(распределённые) классов). Такое требование устанавливается пунктом 3.14
документа «четверокнижия» ФСТЭК РФ «Основанные мероприятия по
организации ….» (выписка). В пункте указывается ссылка на требования
федерального закона № 128-ФЗ от 08.08.2001 «О лицензировании отдельных видов
деятельности» и постановлением правительства № 504 от 16.08.2006 «О
лицензировании деятельности по технической защите конфиденциальной
информации». Ввиду отсутствия получивших широкую огласку судебных решений
до сих пор идут споры о том, правомерно ли требовать наличие лицензии от
оператора ПДн в том случае, когда он выполняет работы по приведению в
соответствие своей деятельности сам (силами своих сотрудников и только для
себя). Ведь выполнение работ своими силами для собственных нужд не является
видом деятельности в терминах гражданского законодательства РФ. В противном
случае 100% компаний, использующих персональные компьютеры можно было бы
при отсутствии лицензии ФСТЭК РФ на ТЗКИ привлечь к уголовной
ответственности по ст. 171 УК РФ «Незаконное предпринимательство» просто за
настройку паролей в операционной системе в купленном ПК, сервере или
ноутбуке, так как это автоматически попадает под определение ТЗКИ при наличии
требований ст.4 128-ФЗ «Критерии определения лицензируемых видов
деятельности»
.

Итак, есть закон, есть ПП, однако есть еще и гражданский кодекс, а как известно, кодекс находится выше рангом в судебно-правовой системе РФ. Основная мысль выделена жирным шрифтом, и юристы говорят, что для компании, которая сама для себя реализует меры по ИБ, в случае претензий регуляторов в отсутствие лицензии, их можно оспорить в судебном порядке.

Я придерживаюсь такого мнения, тем более - повторюсь - ни один прецедент мне не известен.

Казусы законодательства... И не только в этой области smile Конечно, я не сторонник отговаривать кого-либо отполучения лицензии, так же как не сторонник отговаривать кого-либо ее получать - это целиком и полностью ВАШЕ решение, я лишь высказываю свое мнение. Но, на мой взгляд, с учетом совокупной стоимости владения этой лицензией (не будем забывать, что с 2010 года "халява" в части аренды спецпомещений и спецсредств фактически прекратилась - теперь их надо оборудовать самому и покупать), то суммочка вылазит огого... Стоит подумать и взвесить все "за" и "против".

 
sot (Константин)Дата: Среда, 17.03.2010, 15:00 | Сообщение # 4
Рядовой
Группа: Пользователи
Сообщений: 4
Репутация: 0
Статус: Offline
Звонил в ФСТЭК России с вопросом: нужна ли лицензия ТЗКИ. Было сказано следующее, если осуществляете деятельность по ТЗИ, то надо.....Вообщем непонятно, относится ли защита собственных ресурсов к этой деятельности....по этому поводу разъяснений мне не дали =) Алексей, может у Вас есть конкретные ссылки на ГК (про деятельность). Может быть Вам известны обращения за разъяснениями в ФСТЭК по этому вопросу?
 
anvolkov (Алексей Волков)Дата: Среда, 17.03.2010, 15:56 | Сообщение # 5
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
ФСТЭК, организация, безусловно, серьезная. Вы абсолютно правы насчет определения того, как в законодательстве определен термин "ТЗКИ". Однако есть интересный нюанс. Нигде явно не определено - что же такое ДЕЯТЕЛЬНОСТЬ по ТЗКИ. И ФСТЭК это тоже не говорит. В справочнике кодов ОКВЭД я не нашел такого кода (что-нибудь похожее тоже отсутствует). В терминах ГК деятельность - это то, благодаря чему хозяйствующий субъект извлекает ПРИБЫЛЬ. Любой юрист это скажет. А если я вяжу веники - я осуществляю "деятельность по производству веников", и именно на нее мне нужно лицензию получать, а делаю ТЗКИ сам для себя, в своих интересах - деятельность по ТЗКИ в терминах ГК я не осуществляю, а значит - какое лицензирование... Ну и далее по вышенаписанному тексту. На самом деле, надо просто переждать эту неразбериху в законодательстве - либо код "Проведение мероприятий или оказание услуг по ТЗКИ" включат в ОКВЭД и все интеграторы должны будут включить его в свою деятельность и получить лицензию (а они итак ее имеют), либо что-то поменяется еще. Пока вопрос спорный, и вы далеко не первый, кто ломает голову smile Есть, правда, некоторые энтузиасты, говорящие о том, что это несправедливо - дескать, ведь для чего-то ТЗКИ осуществляется в конторе которая вяжет веники? А значит, она способствует получению БОЛЬШЕЙ прибыли, чем могла бы быть без нее. Я отвечаю, что для того, чтобы это утверждение было истинным, необходимо предоставить доказательную базу - насколько больше контора получила прибыли из-за использования средств защиты (это, как известно, посчитать не могут даже матерые спецы по защите информации) - во всех компаниях, чья деятельность НЕ связана с получением прибыли от ТЗКИ и ИТ, ИБ, как и ИТ, деятельность дотационная - всегда расходная часть бюджета.

Вобщем, резюмируя все это, можно сказать следующее. Лицензирование - требование государства, и подходить к нему необходимо с правовой точки зрения. Фраза "осуществление деятельности" - тоже юридическая заковырка. Если вы сами для себя устанавливаете межсетевой экран или антивирус - то вы осуществляете техническую защиту информации - юридического прецедента в получении лицензии здесь нет. А вот если вы делаете то же самое для других, по договору и за деньги - то с юридической точки зрения вы осуществляете ДЕЯТЕЛЬНОСТЬ по технической защите информации, а значит - будьте любезны лицензию получить (получать ее необходимо и в случае, если ваша основная деятельность невозможна без ТЗКИ - например, Ваша ИСПДн 1 класса, или вы - соответствующая госструктура). Это красной нитью проходит в 58 приказе ФСТЭК (в Положении о методах и способах).

Однако, не все это понимают... Да и потом - по статистике, шанс выиграть судебный спор гражданина у государства, по данным газеты "Коммерсант.Власть", составляет менее 10%. Так что думайте... smile

 
sot (Константин)Дата: Пятница, 19.03.2010, 15:49 | Сообщение # 6
Рядовой
Группа: Пользователи
Сообщений: 4
Репутация: 0
Статус: Offline
Спасибо за ответ, Алексей.
Вот еще обсуждение, связанное с данной темой: http://a-datum.ru/forum....2956d67
Думаю читателям данного форума будет интересно.


Сообщение отредактировал sot - Пятница, 19.03.2010, 15:56
 
anvolkov (Алексей Волков)Дата: Пятница, 19.03.2010, 15:59 | Сообщение # 7
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Не за что, обращайтесь smile А коллеги на указанном Вами форуме фактически подтверждают мои соображения. Не совсем, правда, согласен насчет прав и обязанностей. Лицензии выдаются ФСБ и ФСТЭК по двум разным причинам: добровольной и необходимой. Добровольная - это когда будущий обладатель лицензии сам желает ею обладать (по разным соображениям), и необходимая - когда у организации она просто должна быть. С первым случаем все понятно, а вторые случаи - это как правило различные муниципальные и госструктуры, штабы гражданской обороны и тд. Конечно, требования и к тем и другим одинаковые, однако... Сами понимаете smile
 
anvolkov (Алексей Волков)Дата: Среда, 24.03.2010, 15:52 | Сообщение # 8
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Задал вопрос на ReignVox по поводу волнующей всех лицензии ФСТЭК. Не знаю - ответят ли smile Если ответят - оттранслирую. Хотя, судя по соотношению скоростей вопрос-ответ - вряд ли smile
 
anvolkov (Алексей Волков)Дата: Среда, 24.03.2010, 16:59 | Сообщение # 9
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Все-таки ответили на мой вопрос №294. Итак:

Уважаемые коллеги! Как вы считаете, и может, Вы знаете мнение регуляторов, если организация сама для себя, для внутреннего пользования, использует технические средства защиты информации - межсетевые экраны, антивирусы и т.д., должна ли она получать лицензию ФСТЭК на ТЗКИ? По-другому - является ли это "деятельностью по ТЗКИ" или все-таки деятельность - это когда для других и за деньги? Спасибо за ответ.

16:49:29 Юрий Черкас
Лицензия нужна только в том случае, если Вы оказываете услуги по ТЗКИ, т.е. Вам не нужна.

Еще одним мнением в подтверждение правильности моих доводов стало больше.

 
Kostik (Иванов Константин)Дата: Среда, 24.03.2010, 17:34 | Сообщение # 10
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
№ 287

В свете недавно изменившегося законодательства по защите ПДн остается ли обязательной сертификация применяемых средств защиты информации?

16:42:19 Юрий Черкас
Для систем 1- го класса да.

Лично для меня не очевидная ситуация, т.к. видел неоднозначные мнения по поводу формулировки "оценки соответствия"

 
anvolkov (Алексей Волков)Дата: Среда, 24.03.2010, 17:49 | Сообщение # 11
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Мнения мнениями, читай приказ № 58 ФСТЭК - там все написано однозначно. Ответ правильный.
 
anvolkov (Алексей Волков)Дата: Понедельник, 29.03.2010, 16:13 | Сообщение # 12
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Коллеги с Блога Евгения Царева подсказали ссылочку - а по ней - такое вот письмо. Я полагаю, в этом вопросе можно поставить точку.
Прикрепления: 4133503.png (285.9 Kb)
 
anvolkov (Алексей Волков)Дата: Вторник, 06.04.2010, 13:57 | Сообщение # 13
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
К вопросу о необходимости использования сертифицированных средств защиты в госучреждениях (взято с Блога Царева):

17. Evgeniy Zh. Says:

апреля 5, 2010 at 10:53
Я так понял, что сертификация ПО не нужна для ИСПДн 2, 3 и 4 классов. А действительно ли это для гос. учреждений? Дело в том, что на некоторых форумах ссылаются на документ СТР-К 2002, в котором прописано, что для гос. учреждений нужна обязательная сертификация ПО. Сам документ я не нашёл. Заранее благодарю.

alex_b Reply:

апреля 6, 2010 at 13:42

То, что вы не нашли документ – не удивительно. ДСП все-таки.
СТР-К, как ни крутись, это конфиденциальная информация в общем, и служебная – в частности. Но к ПДн он относится лишь косвенно (были у нас ПДн под ДСП – пришел ФСТЭК и сказал “Ай-я-яй…”, обозвали ПДн “Конфиденциально” – вопросы пропали). Таким образом, если у Вас нет категории “служебная информация”, то СТР-К приплетать не обязательно. А требования по сертификации там действительно есть (только не для классов ИСПДн, а для классов АС).
Если интересует документ – закажите у местного ФСТЭК.

То есть, подтверждается мнение о том, что сертификация автоматизированных систем в ряде случаев обязательна, только связана она не с защитой ИСПДн, а классом АС, определяемом в СТР-К.

 
Andrey_cm (Андрей)Дата: Четверг, 08.04.2010, 09:06 | Сообщение # 14
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
http://www.mk.ru/social....ke.html Эту статью перекопировали не один новостной портал, даже на http://privacy-info.ru опубликовано. Там либо пишется о неизвестном пока нам положении, либо же так ужасно переврано положение, которое введено 58м приказом.
 
anvolkov (Алексей Волков)Дата: Четверг, 08.04.2010, 09:26 | Сообщение # 15
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Quote
Там либо пишется о неизвестном пока нам положении, либо же так ужасно переврано положение, которое введено 58м приказом.

58 приказ. Журналисты слышали звон, да не знают где он. И судя по всему, не разбираются в вопросе впринципе.

 
Форум » Персональные данные » Общие вопросы » ФСТЭК решает в пользу операторов (однако есть еще "подводные камни"...)
  • Страница 1 из 3
  • 1
  • 2
  • 3
  • »
Поиск:

Copyright Ivanov Konstantin © 2024Используются технологии uCoz