24.10.09

Сертификат ФСТЭК высшего класса К1

Гротек опубликовал опус про получение Eset NOD32 сертификата ФСТЭК "высшего класса К1". Даже и не знаю, кто этот бред писал ;-( Непонимание не только термина "конфиденциальная информация", но и ФЗ "О персональных данных", системы сертификации ФСТЭК и "четверокнижия" ФСТЭК.

29 коммент.:

Анонимный комментирует...

На сайте компании тоже ерунда написана. Про своеобразный пиар уже говорили ну пригласили бы хоть консультантов. А то "лидеры ЗИ" настолько безграмотно пишут...

Анонимный комментирует...

Господа, подскажите пожалуйста, необходима ли лицензия организации, занимающейся проведением мероприятий по организаиции и тех. обеспечению безопасности ПнД?
Коротко говоря, может ли какой-нибудь ИП предлагать свои услуги по классификации ИСПДн, определению актуальных угроз, строить модели, устанавливать сертфицир. ПО и тех. средства и т.п.?
Заранее спасибо за ответ.

Анонимный комментирует...
Этот комментарий был удален автором.
Анонимный комментирует...

1. В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Так же см. статьи на сайте wikisec.ru
"Реализация требований 152 ФЗ" и "Порядок создания системы защиты персональных данных" там же ссылка на документ

Алексей Лукацкий комментирует...

Если короче, то для себя лицензия не нужна, для оказания услуг другим - обязательно.

Sergey Gordeychik комментирует...

Очень даже они молодцы.
Хитро повернули систему в свою строну. Вписали себе в ТУ требования из "четырехкнижия" по К1, вот тебе и К1 :)

См. цитату из их сертификата (http://www.tsarev.biz/wp-content/uploads/2009/10/fstek-eset1.JPG).

ЗЫ. Зря по системам оценки защищенности требований нет...

Анонимный комментирует...

Куда интереснее сертификата - почитать ограничения в формуляре и ТУ !

Анонимный комментирует...

Спасибо большое за ответы, господа. Но вот вопрос, если контора заявляет себя лишь как "Консультурующую в области защиты ПДн", или тем паче "Поставщиком сертифицированного оборудования" (а фактически покупает там и продаёт здесь - проводя его установку и объясняя на пальцах) - можно ли говорить о том, что её действия не подпадают под понятие ТЗКИ согласно Положению Првительства № 504 "О лицензировании деятельности по ТЗКИ"?

Анонимный комментирует...

Подпадают... есть две лицензии ФСТЭК. (wikisec не читали :-) )

1. «Осуществление деятельности по технической защите конфиденциальной информации»;
2. «Осуществление деятельности по разработке и(или) производству средств защиты конфиденциальной информации».

Анонимный комментирует...

В лицензии прописываются конкретные виды деятельности... разработка, реализация, и т.п.

Ledokol комментирует...

А лицензия по ТЗКИ тоже подразделяется.
На мероприятия и (или) оказание услуг.
Так что "Консультурующую в области защиты ПДн" контору надо лицензировать именно по "оказанию услуг"

Кстати, не согласен с автором блога, что "для себя лицензия не нужна". А кому тогда получать лицензию по ТЗКИ на "мероприятия"?

Анонимный комментирует...

2 Ledokol
У Вас есть великолепная возможность уточнить вопрос у первоисточника...
http://www.fstec.ru/_razd/_osn.htm

Анонимный комментирует...

LEDOKOL, а откуда взяли про разделени лицензий? В каком документе?

Ledokol комментирует...

To Евгений Родыгин.
Я не понял, Евгений, ЧТО мне надо уточнять во ФСТЭКе?
За ссылочку спасибо, но она зачем?
На что дальше там жать?
Телефоны, адреса и фамилии я и так прекрасно знаю.
К кому Вы предлагаете обратиться, а главное, для чего?
Вы хотите сказать, что если Вы у себя построили ИСПДн (К1, К2, К3 распр.) и ее эксплуатируете, при этом не заключив договор с лицензиатом ФСТЭК на аутсорсинг, то Вам не нужна лицензия??!!
Ну-ну, блажен, кто верует...

Анонимный комментирует...

To Евгений Родыгин.

Я не понял, Евгений, ЧТО мне надо уточнять во ФСТЭКе?

- Уточните Ваш вопрос по лицензиям.

За ссылочку спасибо, но она зачем?
На что дальше там жать?
Телефоны, адреса и фамилии я и так прекрасно знаю.
К кому Вы предлагаете обратиться, а главное, для чего?

- для того чтобы уточнить Ваш вопрос.

Вы хотите сказать, что если Вы у себя построили ИСПДн (К1, К2, К3 распр.) и ее эксплуатируете, при этом не заключив договор с лицензиатом ФСТЭК на аутсорсинг, то Вам не нужна лицензия??!!

- если бы хотел так сказать - так бы и сказал!

Ну-ну, блажен, кто верует...

-
Блажен, кто верует, не видевши Тебя.
А где же - миру Свет, слепцам - прозренье?
Слепая вера есть и у меня,
Вот только не дает мне утешенья.

Лишь знаю, что в Твоих руках судьба,
И право: ставить справа или слева.
Свободного Ты любишь иль раба?
Святого иль вкусившего от древа?

Сказал: "Стою у двери и стучу."
Блажен, кто слышит...Сердцем замирая,
Я так услышать голос Твой хочу,
Еще хочу любить - Любви не зная.

Есть двери разные: парадные и нет,
И есть дома, что чистотой сверкая -
Стоят и ждут. В них есть огонь и свет,
И Ты стучишься в них, - других не зная?

Мой дом же пуст, открытый всем ветрам.
Погас огонь, не давши обогреться.
Лишь пыль гоняет ветер по углам
Измученного, раненого сердца.

Прости...То не укор , то - боль моя,
Не осужденье - стон, не ропот - мука.
Не слышу я, хоть Ты услышь меня!
Молю, прошу - войди ко мне без стука.

Ledokol комментирует...

To С.
Не о "разделении", а о ПОДразделении. И почему взял?
Прочитал...
Посмотрите п.2 Положения, утв. ПП 504 от 15.08.2006:
http://www.fstec.ru/_razd/_lico.htm

На лицензии по ТЗКИ написано: "ФСТЭК разрешает осуществление мероприятий и оказание услуг по ТЗКИ".
Это если Вы заявляетесь на полную лицензию.
А если "тока для сэбе" - то пишут просто "осуществление мероприятий" и тогда услуги Вы не имеете права оказывать под страхом КоАПа.
И наоборот.

Возвратясь к п.2 ПП 504, обращаю внимание на вот это: "и (или)".
О чем это говорит?
О том, что может быть или "мероприятия" или "оказание услуг" или же и то и другое вместе.

Вот, собственно и все...

Ledokol комментирует...

Вот это да!!!!
Евгений, спасибо!
Не могу узнать автора - не подскажете?
Стихотворение сохраняю и печатаю.

А по лицензиям действительно не понимаю - что уточнять?
Правильность или неправильность ПП 504 и Административного регламента?

Да и не вопрос был у меня, а ответ...

Анонимный комментирует...

2 Ledokol

Судя по блогерным настроениям(постам), больной голове и т.п. подозреваю сегодня были магнитные бури...

Попив кофейку и съев таблетку - понял что спутал Вас с автором "С" который вопрос задавал... каюсь...

Анонимный комментирует...

По лицензиям:
1. Те кто занимается распространением программно-аппаратных средств защиты и технических средств, сертифицированных ФСТЭК - лицензия ТЗКИ не нужна.
2. Те кто занимается настройкой программно-аппаратных средств и технических средств, сертифицированных ФСТЭК - лицензия ТЗКИ нужна.

Таким образом Вы можете проводить предпроектное исследование и поставлять средства защиты информации без внедрения (настройки) в организацию.
Как только речь идет о настройке, то сразу должна вырисовываться лицензия ТКЗИ.

Ledokol комментирует...

Евгений, все нормально!
Рад разговору с Вами.
Стихи великолепны!

Анонимному: +1
Спасибо за уточняющее дополнение.

Анонимный комментирует...

В соответствии с "Положение о государственном лицензировании деятельности в области защиты информации. (Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 27 апреля 1994 г. №10(с изменениями и дополнениями от 24 июня 1997 г. №60))"

Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию Гостехкомиссией России (ФСТЭК России).

Разработка, производство, РЕАЛИЗАЦИЯ, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации.

на сайте ФСТЭК России или на wikisec.ru статья "Порядок лицензирования ФСТЭК России".

Анонимный комментирует...

Однако,
Представители ФСТЭК России иногда толкуют по разному. Надеюсь со временем все встанет на свои места...

Алексей Лукацкий комментирует...

10-е решение никому не интересно ибо статус этого документа очень непрост ;-) Особенно ввиду выпуска ФЗ-128 и ПП-504.

Анонимный комментирует...

128-ФЗ: распростр. на
деятельность, связанная с защитой государственной тайны;
- что бы это значило ? без иронии.

ПП-504:
3. Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю (далее - лицензирующий орган).

Вернулись к ФСТЭК, однако, ФСТЭК учел все положения ПП-504 ?

Алексей Лукацкий комментирует...

Перечень лицензируемых видов деятельности не может определяться органом исполнительной власти - это не в его компетенции.

Анонимный комментирует...

Нет Вы послушайте его - ОН мне говорит что Я ОПТИМИСТ !!!

Анонимный комментирует...

Никто не заметил что
"128-ФЗ: распростр. на
деятельность, связанная с защитой государственной тайны;
- что бы это значило ? без иронии."

надо писать НЕ распростр...

Анонимный комментирует...

128-ФЗ

http://www.consultant.ru/popular/license/38_1.html#p325

17 статья со всякими правками.
Вопрос о действии только.

10) деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

11) деятельность по технической защите конфиденциальной информации;

Анонимный комментирует...

И?