tag:blogger.com,1999:blog-4065770693499115314.post2146886408400864787..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: ФСТЭК определилась с тем, что такое ТЗКИАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger23125tag:blogger.com,1999:blog-4065770693499115314.post-4396372316343405172012-04-04T19:08:31.527+04:002012-04-04T19:08:31.527+04:00Виктория, а вообще Вы не правы ;-) Вспомнил, что я...Виктория, а вообще Вы не правы ;-) Вспомнил, что я на теже грабли уже наступал ;-) Требование получения лицензии - это не тоже, что лицензионные требованияАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-80700523654887613572012-04-04T15:25:38.149+04:002012-04-04T15:25:38.149+04:00Виктория, в принципе в Вашей логике я серьезных пр...Виктория, в принципе в Вашей логике я серьезных пробелов не вижу. Но это с точки зрения регулятора это неправильно ;-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-29788867635474493672012-04-04T15:10:23.645+04:002012-04-04T15:10:23.645+04:00прошу прощения за занудство - просто не могу никак...прошу прощения за занудство - просто не могу никак понять:<br />п. 1. ст. 16 того же фз 149 "Защита информации представляет собой принятие правовых, организационных и <b>технических мер</b>.."<br />и в то же время <br />п. 1. ст. 12 ФЗ 99 "В соответствии с настоящим Федеральным законом лицензированию подлежат... 5) деятельность по технической защите конфиденциальной информации.."<br /><br />получается, сначала мы обязаны лицензировать деятельность по ТЗИ, после чего к нам не могут предъявлять лицензионные требования по этой самой ТЗИ?<br /><br />или принятие технических мер по ЗИ ≠ деятельности по технической ЗИ?<br /><br />Спасибо за внимание к вопросу!Викторияhttps://www.blogger.com/profile/01145520363388097359noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-3055795243963506662012-04-04T11:45:30.711+04:002012-04-04T11:45:30.711+04:00Этот комментарий был удален автором.Викторияhttps://www.blogger.com/profile/01145520363388097359noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-92173995494580971112012-04-04T11:41:46.684+04:002012-04-04T11:41:46.684+04:00Виктория, а у вас при лицензировании не особо пров...Виктория, а у вас при лицензировании не особо проверяют, как вы защищаетесь. Но поворот интересный.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-32744269515016643722012-04-04T11:36:15.540+04:002012-04-04T11:36:15.540+04:00вопрос по лицензированию..опять..
п.4. ст. 8 ФЗ 9...вопрос по лицензированию..опять..<br /><br />п.4. ст. 8 ФЗ 99 К лицензионным требованиям не могут быть отнесены требования .. законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта...<br /><br />? можно ли отнести в соответствие к данному пункту п. 4 ст. 6 ФЗ 149: "4. Обладатель информации при осуществлении своих прав обязан:<br />...<br />2) принимать меры по защите информации;<br />..."Викторияhttps://www.blogger.com/profile/01145520363388097359noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-32418055760200170482012-03-06T10:37:16.856+04:002012-03-06T10:37:16.856+04:00Соглашусь с вами, в ходе разбора потерял смысл. Ли...Соглашусь с вами, в ходе разбора потерял смысл. Лицензионные требования и требование получения лицензии вещи разные по смыслу. Но не могут не влиять друг на друга. ТК и НК РФ обязывают стать оператором ПД любой хозяйствующий субъект, следовательно не обязан выполнять лицензионные требования (не получить лицензию) так как проведение мероприятий требует ФЗ 152, значит лицензию на ТЗКИ не обязательно? Таким способом правомерно будет защитить отсутствие лицензии и аттестатов соответствия при выполненных мероприятиях, как вы считайте?может есть иной подход?Westhttps://www.blogger.com/profile/05457923666887048525noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-12973684640350858742012-03-02T23:25:02.689+04:002012-03-02T23:25:02.689+04:00Уже обсуждали по поводу "лицензионных требова...Уже обсуждали по поводу "лицензионных требований". Это именно лицензионные требования, а не требование получения лицензии.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-6234594821960496492012-03-02T15:32:02.046+04:002012-03-02T15:32:02.046+04:00скажите качество работ по ЗИ будет плохим, если оп...скажите качество работ по ЗИ будет плохим, если оператор сам выполняет работы?да, но это не от лицензии зависит, а от того какой специалист занимается..По части лицензировании, ФСТЭКу надо одеяло натянуть потеплей, пока есть возможность..Вместо того, что бы внести на рассмотрение поправки в законодательство, что работы должны проводится квалифицированными специалистами с образованием по защите информации.пусть с доп. курсами (опять же ФСТЭК приложился) Ужесточить наказание, РКН и ФСТЭК принять активное участие в проверке.<br /> С лицензиями выигрывать будут лицензиаты, коих по стране не так уж много. и рабочих мест у них вобщем мало. а молодым специалистам хоть и с интересом к работе, сложно устроиться, как и самим развивать данное направление. лучше бы поспособствовали четким и ясным текстом в законодательстве на востребованность специалистов по ИБ в организациях. Закон должен выполняться, должен качественно, значит иметь в штате специалистов. Хотя бы крупному бизнесу. сколько со мной училось людей по данной специальности.большая часть не нашли пристанища.востребованность именно ИБшников, а не ИТшников мало кому понятна и нужна, по крайней мере в Приволжском округе. И от такого развития, толчка, выйграли бы все. Развитие информационного сообщества, технологий, продаж, рабочие места для специалистов, наконец понимание в стране на средних и крупных уровнях, что обеспечение ИБ это есть новая ступень в управлении бизнесом, менеджменте персоналом, скорости, качестве работы и соответственно количестве прибыли.<br />Иначе все это маленький глухой пук, на фоне заявленной бомбежки.Westhttps://www.blogger.com/profile/05457923666887048525noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-64023412744500753682012-03-02T14:37:16.085+04:002012-03-02T14:37:16.085+04:00По поводу лицензии ТЗКИ для выполнения работ необх...По поводу лицензии ТЗКИ для выполнения работ необходимых по требованиям ФЗ № 152.<br />Федеральный закон от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности"<br />П.4 Ст. 8<br />К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, а также требования к конкретным видам и объему выпускаемой или планируемой к выпуску продукции.<br />Это понятно, что ФСТЭК должен уважать.<br />а так же...<br />Согласно п 1.3 приказа ФСТЭК РФ от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" для выбора и реализации методов и способов защиты информации в информационной системе оператором может назначаться структурное подразделение или ответственное лицо (про лицензию речи нет).<br />Отдельным предложением: -//- организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации (а здесь есть).<br />Соответственно или или...<br />А это уже их слова...<br />Лицензироваться для выполнения обязательных требований не нужно.<br />Только если оказывать услуги сторонней организации.Westhttps://www.blogger.com/profile/05457923666887048525noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-19152621434190940472012-02-20T10:04:16.527+04:002012-02-20T10:04:16.527+04:00Этот комментарий был удален автором.ser-storchakhttps://www.blogger.com/profile/16008324160758569280noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-66091554356990526862012-02-12T13:24:15.722+04:002012-02-12T13:24:15.722+04:00wsolow мне кажется вы правы потому, что неоднократ...<b>wsolow</b> мне кажется вы правы потому, что неоднократно "боролся" со своими юристами на тему использования термина "работ" так вот они их всегда трактуют как некие правоотношения, но! есть еще возможность осуществления деятельности хоз. способом, а это как раз распространяется на эксплуаиацию и т.д.Void Z7https://www.blogger.com/profile/01975362922750354962noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-30110041802464701562012-02-09T17:12:21.106+04:002012-02-09T17:12:21.106+04:00Алексей Лукацкий: в перечне работ попадающих под л...Алексей Лукацкий: в перечне работ попадающих под лицензирование есть ремонт СЗИ.<br /><br />Могут ли инженеры Cisco Systems ремонтировать сертифицированные МЭ ASA 5500?<br />Если допустим у заказчика куплена поддержка 8x5 Onsite.Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-74457508813771869872012-02-09T15:06:02.037+04:002012-02-09T15:06:02.037+04:00В ?9 постановлении идет речь о "работах и усл...В ?9 постановлении идет речь о "работах и услугах" по ТЗКИ. Если работы и услуги понимать как категории гражданского кодекса, то они предполагаю наличие правоотношений продавец-покупатель (заказчик-исполнитель). В случае же деятельности по ТЗКИ без привлечения продавца (исполнителя) правоотношения отсутствуют и, следовательно, отсутствуют "работы и услуги", а значит и лицензировать<br />нечего!<br />М.б. именно так все и понимается в 79 постановлении? <br />Обратите внимание на требования постановления к индивидуальному предпринимателю - ведь если он не занимается деятельностью по ТЗКИ на "заказ" (например торговец или риелтор), то требовать от него квалификации специалиста по защите информации невозможно!wsolowhttps://www.blogger.com/profile/13556522425989903978noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-67891014240826874862012-02-09T09:56:27.993+04:002012-02-09T09:56:27.993+04:00Решая вопрос получать-неполучать обратите внимание...Решая вопрос получать-неполучать обратите внимание на лицензионные требования: аттестовать помещения,<br />автоматизированные системы и СЗИ: оценка соответствия для АС - аттестация, для СЗИ - сертификация, без вариантов. Средства контроля - сертификация.<br />С оборудованием тоже засада - вроде бы если ПЭМИН не актуальна и не проводишь аттестацию и сертификацию, но причем тут установка - е) п. 4? Да, за что боролись, на то и напоролись...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-39598457398677252072012-02-08T22:28:35.077+04:002012-02-08T22:28:35.077+04:00Алексей и ко*!.. Я искринне снимаю шляпу пред ваши...Алексей и ко*!.. Я искринне снимаю шляпу пред вашим идиалистическим представлением о ПОЛИТИКЕ государства в интересующей нас области... Вы, принимая непосредственное участие в формировании документов отраслевого и ФЕДЕРАЛЬНОГО уровня до сих пор сохранили иллюзии, что созидательные мотивы превалируют над ...???Д.Никитинhttps://www.blogger.com/profile/11725091884499227247noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-69667697767388281292012-02-08T21:10:08.283+04:002012-02-08T21:10:08.283+04:00Не, не так. Во-первых, сертификация и лицензирован...Не, не так. Во-первых, сертификация и лицензирование - это две разных задачи. Я считаю, что лицензирование коммерческого предприятия, не обрабатывающего гостайну или госзаказ, избыточно и не нужно. Поэтому я поддержу твой тезис о том, что надо либо искать законные методы не получать лицензию, либо эту лицензию получать.<br /><br />А по сертификации ситуация иная. То, что сделано в России - это глупость. Ни в одной стране мира такого нет. Сама же оценка соответствия нужна, но не в том виде, как это сделано ФСТЭК. У ФСБ подход иной - там посторонних просто нет - поэтому контроль жестче и никаких единичных экземпляров. Хотя и там есть законные сценарии использования несертифицированной криптографии и их немало.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-160232349963019032012-02-08T20:53:14.573+04:002012-02-08T20:53:14.573+04:00Алексей, какой-то у вас двойственный подход.
В сл...Алексей, какой-то у вас двойственный подход. <br />В случае СКЗИ выговорите что вариант один - сертифицировать.<br /><br />А тут предлагаете - нарушать. И смотреть какие будут последствия.<br /><br />Я бы сказал что варианты такие:<br />- либо придумываем законное обоснование не получать лицензию<br />- либо получаем лицензиюСергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-48528162769621186012012-02-08T17:41:33.680+04:002012-02-08T17:41:33.680+04:00Если ты посмотришь на план проверок РКН, то он на ...Если ты посмотришь на план проверок РКН, то он на 70% состоит из тех, кто не в реестре операторовАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-12267815553551158072012-02-08T17:37:46.125+04:002012-02-08T17:37:46.125+04:00а пример таких проверок за последний год в отношен...а пример таких проверок за последний год в отношении тех, кто НЕ подавал на запись в реестр операторов ПД? Там сейчас 232 тысячи организаций всего, остальные не торопятся.arkanoidhttps://www.blogger.com/profile/16788299034814627694noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-68956675545072097612012-02-08T17:34:03.064+04:002012-02-08T17:34:03.064+04:00Неверно. Де факто и де юре они операторы ПДн. И их...Неверно. Де факто и де юре они операторы ПДн. И их также проверяют. Но там как раз вопросы проще всего решаются. И если РКН оценивают по количеству нарушений, то, конечно, тех, у кого нарушений будет мало, не трогаютАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-8084014749319489352012-02-08T17:27:32.715+04:002012-02-08T17:27:32.715+04:00(но похоже на правду)(но похоже на правду)arkanoidhttps://www.blogger.com/profile/16788299034814627694noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-33377348236745445052012-02-08T17:27:09.386+04:002012-02-08T17:27:09.386+04:00Мне вот сказали, что де факто обрабатывающие ПД в ...Мне вот сказали, что де факто обрабатывающие ПД в рамках трудовых отношений (собственная бухгалтерия) операторами ПД не считаются. То есть в теории, докопаться могут и к ним, а на практике -- не трогали и трогать не будут. Интересная идея.arkanoidhttps://www.blogger.com/profile/16788299034814627694noreply@blogger.com