24.10.2009

Сертификат ФСТЭК высшего класса К1

Гротек опубликовал опус про получение Eset NOD32 сертификата ФСТЭК "высшего класса К1". Даже и не знаю, кто этот бред писал ;-( Непонимание не только термина "конфиденциальная информация", но и ФЗ "О персональных данных", системы сертификации ФСТЭК и "четверокнижия" ФСТЭК.

29 коммент.:

swan комментирует...

На сайте компании тоже ерунда написана. Про своеобразный пиар уже говорили ну пригласили бы хоть консультантов. А то "лидеры ЗИ" настолько безграмотно пишут...

С. комментирует...

Господа, подскажите пожалуйста, необходима ли лицензия организации, занимающейся проведением мероприятий по организаиции и тех. обеспечению безопасности ПнД?
Коротко говоря, может ли какой-нибудь ИП предлагать свои услуги по классификации ИСПДн, определению актуальных угроз, строить модели, устанавливать сертфицир. ПО и тех. средства и т.п.?
Заранее спасибо за ответ.

swan комментирует...
Этот комментарий был удален автором.
swan комментирует...

1. В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Так же см. статьи на сайте wikisec.ru
"Реализация требований 152 ФЗ" и "Порядок создания системы защиты персональных данных" там же ссылка на документ

Алексей Лукацкий комментирует...

Если короче, то для себя лицензия не нужна, для оказания услуг другим - обязательно.

Сергей Гордейчик комментирует...

Очень даже они молодцы.
Хитро повернули систему в свою строну. Вписали себе в ТУ требования из "четырехкнижия" по К1, вот тебе и К1 :)

См. цитату из их сертификата (http://www.tsarev.biz/wp-content/uploads/2009/10/fstek-eset1.JPG).

ЗЫ. Зря по системам оценки защищенности требований нет...

swan комментирует...

Куда интереснее сертификата - почитать ограничения в формуляре и ТУ !

С. комментирует...

Спасибо большое за ответы, господа. Но вот вопрос, если контора заявляет себя лишь как "Консультурующую в области защиты ПДн", или тем паче "Поставщиком сертифицированного оборудования" (а фактически покупает там и продаёт здесь - проводя его установку и объясняя на пальцах) - можно ли говорить о том, что её действия не подпадают под понятие ТЗКИ согласно Положению Првительства № 504 "О лицензировании деятельности по ТЗКИ"?

Евгений Родыгин комментирует...

Подпадают... есть две лицензии ФСТЭК. (wikisec не читали :-) )

1. «Осуществление деятельности по технической защите конфиденциальной информации»;
2. «Осуществление деятельности по разработке и(или) производству средств защиты конфиденциальной информации».

Евгений Родыгин комментирует...

В лицензии прописываются конкретные виды деятельности... разработка, реализация, и т.п.

Ledokol комментирует...

А лицензия по ТЗКИ тоже подразделяется.
На мероприятия и (или) оказание услуг.
Так что "Консультурующую в области защиты ПДн" контору надо лицензировать именно по "оказанию услуг"

Кстати, не согласен с автором блога, что "для себя лицензия не нужна". А кому тогда получать лицензию по ТЗКИ на "мероприятия"?

Евгений Родыгин комментирует...

2 Ledokol
У Вас есть великолепная возможность уточнить вопрос у первоисточника...
http://www.fstec.ru/_razd/_osn.htm

С. комментирует...

LEDOKOL, а откуда взяли про разделени лицензий? В каком документе?

Ledokol комментирует...

To Евгений Родыгин.
Я не понял, Евгений, ЧТО мне надо уточнять во ФСТЭКе?
За ссылочку спасибо, но она зачем?
На что дальше там жать?
Телефоны, адреса и фамилии я и так прекрасно знаю.
К кому Вы предлагаете обратиться, а главное, для чего?
Вы хотите сказать, что если Вы у себя построили ИСПДн (К1, К2, К3 распр.) и ее эксплуатируете, при этом не заключив договор с лицензиатом ФСТЭК на аутсорсинг, то Вам не нужна лицензия??!!
Ну-ну, блажен, кто верует...

Евгений Родыгин комментирует...

To Евгений Родыгин.

Я не понял, Евгений, ЧТО мне надо уточнять во ФСТЭКе?

- Уточните Ваш вопрос по лицензиям.

За ссылочку спасибо, но она зачем?
На что дальше там жать?
Телефоны, адреса и фамилии я и так прекрасно знаю.
К кому Вы предлагаете обратиться, а главное, для чего?

- для того чтобы уточнить Ваш вопрос.

Вы хотите сказать, что если Вы у себя построили ИСПДн (К1, К2, К3 распр.) и ее эксплуатируете, при этом не заключив договор с лицензиатом ФСТЭК на аутсорсинг, то Вам не нужна лицензия??!!

- если бы хотел так сказать - так бы и сказал!

Ну-ну, блажен, кто верует...

-
Блажен, кто верует, не видевши Тебя.
А где же - миру Свет, слепцам - прозренье?
Слепая вера есть и у меня,
Вот только не дает мне утешенья.

Лишь знаю, что в Твоих руках судьба,
И право: ставить справа или слева.
Свободного Ты любишь иль раба?
Святого иль вкусившего от древа?

Сказал: "Стою у двери и стучу."
Блажен, кто слышит...Сердцем замирая,
Я так услышать голос Твой хочу,
Еще хочу любить - Любви не зная.

Есть двери разные: парадные и нет,
И есть дома, что чистотой сверкая -
Стоят и ждут. В них есть огонь и свет,
И Ты стучишься в них, - других не зная?

Мой дом же пуст, открытый всем ветрам.
Погас огонь, не давши обогреться.
Лишь пыль гоняет ветер по углам
Измученного, раненого сердца.

Прости...То не укор , то - боль моя,
Не осужденье - стон, не ропот - мука.
Не слышу я, хоть Ты услышь меня!
Молю, прошу - войди ко мне без стука.

Ledokol комментирует...

To С.
Не о "разделении", а о ПОДразделении. И почему взял?
Прочитал...
Посмотрите п.2 Положения, утв. ПП 504 от 15.08.2006:
http://www.fstec.ru/_razd/_lico.htm

На лицензии по ТЗКИ написано: "ФСТЭК разрешает осуществление мероприятий и оказание услуг по ТЗКИ".
Это если Вы заявляетесь на полную лицензию.
А если "тока для сэбе" - то пишут просто "осуществление мероприятий" и тогда услуги Вы не имеете права оказывать под страхом КоАПа.
И наоборот.

Возвратясь к п.2 ПП 504, обращаю внимание на вот это: "и (или)".
О чем это говорит?
О том, что может быть или "мероприятия" или "оказание услуг" или же и то и другое вместе.

Вот, собственно и все...

Ledokol комментирует...

Вот это да!!!!
Евгений, спасибо!
Не могу узнать автора - не подскажете?
Стихотворение сохраняю и печатаю.

А по лицензиям действительно не понимаю - что уточнять?
Правильность или неправильность ПП 504 и Административного регламента?

Да и не вопрос был у меня, а ответ...

Евгений Родыгин комментирует...

2 Ledokol

Судя по блогерным настроениям(постам), больной голове и т.п. подозреваю сегодня были магнитные бури...

Попив кофейку и съев таблетку - понял что спутал Вас с автором "С" который вопрос задавал... каюсь...

Анонимный комментирует...

По лицензиям:
1. Те кто занимается распространением программно-аппаратных средств защиты и технических средств, сертифицированных ФСТЭК - лицензия ТЗКИ не нужна.
2. Те кто занимается настройкой программно-аппаратных средств и технических средств, сертифицированных ФСТЭК - лицензия ТЗКИ нужна.

Таким образом Вы можете проводить предпроектное исследование и поставлять средства защиты информации без внедрения (настройки) в организацию.
Как только речь идет о настройке, то сразу должна вырисовываться лицензия ТКЗИ.

Ledokol комментирует...

Евгений, все нормально!
Рад разговору с Вами.
Стихи великолепны!

Анонимному: +1
Спасибо за уточняющее дополнение.

Евгений Родыгин комментирует...

В соответствии с "Положение о государственном лицензировании деятельности в области защиты информации. (Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 27 апреля 1994 г. №10(с изменениями и дополнениями от 24 июня 1997 г. №60))"

Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию Гостехкомиссией России (ФСТЭК России).

Разработка, производство, РЕАЛИЗАЦИЯ, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации.

на сайте ФСТЭК России или на wikisec.ru статья "Порядок лицензирования ФСТЭК России".

Евгений Родыгин комментирует...

Однако,
Представители ФСТЭК России иногда толкуют по разному. Надеюсь со временем все встанет на свои места...

Алексей Лукацкий комментирует...

10-е решение никому не интересно ибо статус этого документа очень непрост ;-) Особенно ввиду выпуска ФЗ-128 и ПП-504.

Евгений Родыгин комментирует...

128-ФЗ: распростр. на
деятельность, связанная с защитой государственной тайны;
- что бы это значило ? без иронии.

ПП-504:
3. Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю (далее - лицензирующий орган).

Вернулись к ФСТЭК, однако, ФСТЭК учел все положения ПП-504 ?

Алексей Лукацкий комментирует...

Перечень лицензируемых видов деятельности не может определяться органом исполнительной власти - это не в его компетенции.

Евгений Родыгин комментирует...

Нет Вы послушайте его - ОН мне говорит что Я ОПТИМИСТ !!!

Евгений Родыгин комментирует...

Никто не заметил что
"128-ФЗ: распростр. на
деятельность, связанная с защитой государственной тайны;
- что бы это значило ? без иронии."

надо писать НЕ распростр...

Евгений Родыгин комментирует...

128-ФЗ

http://www.consultant.ru/popular/license/38_1.html#p325

17 статья со всякими правками.
Вопрос о действии только.

10) деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

11) деятельность по технической защите конфиденциальной информации;

Анонимный комментирует...

И?