Pages - Menu

Страницы

24.10.09

Сертификат ФСТЭК высшего класса К1

Гротек опубликовал опус про получение Eset NOD32 сертификата ФСТЭК "высшего класса К1". Даже и не знаю, кто этот бред писал ;-( Непонимание не только термина "конфиденциальная информация", но и ФЗ "О персональных данных", системы сертификации ФСТЭК и "четверокнижия" ФСТЭК.

29 комментариев:

  1. На сайте компании тоже ерунда написана. Про своеобразный пиар уже говорили ну пригласили бы хоть консультантов. А то "лидеры ЗИ" настолько безграмотно пишут...

    ОтветитьУдалить
  2. Господа, подскажите пожалуйста, необходима ли лицензия организации, занимающейся проведением мероприятий по организаиции и тех. обеспечению безопасности ПнД?
    Коротко говоря, может ли какой-нибудь ИП предлагать свои услуги по классификации ИСПДн, определению актуальных угроз, строить модели, устанавливать сертфицир. ПО и тех. средства и т.п.?
    Заранее спасибо за ответ.

    ОтветитьУдалить
  3. Этот комментарий был удален автором.

    ОтветитьУдалить
  4. 1. В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

    Так же см. статьи на сайте wikisec.ru
    "Реализация требований 152 ФЗ" и "Порядок создания системы защиты персональных данных" там же ссылка на документ

    ОтветитьУдалить
  5. Если короче, то для себя лицензия не нужна, для оказания услуг другим - обязательно.

    ОтветитьУдалить
  6. Очень даже они молодцы.
    Хитро повернули систему в свою строну. Вписали себе в ТУ требования из "четырехкнижия" по К1, вот тебе и К1 :)

    См. цитату из их сертификата (http://www.tsarev.biz/wp-content/uploads/2009/10/fstek-eset1.JPG).

    ЗЫ. Зря по системам оценки защищенности требований нет...

    ОтветитьУдалить
  7. Куда интереснее сертификата - почитать ограничения в формуляре и ТУ !

    ОтветитьУдалить
  8. Спасибо большое за ответы, господа. Но вот вопрос, если контора заявляет себя лишь как "Консультурующую в области защиты ПДн", или тем паче "Поставщиком сертифицированного оборудования" (а фактически покупает там и продаёт здесь - проводя его установку и объясняя на пальцах) - можно ли говорить о том, что её действия не подпадают под понятие ТЗКИ согласно Положению Првительства № 504 "О лицензировании деятельности по ТЗКИ"?

    ОтветитьУдалить
  9. Подпадают... есть две лицензии ФСТЭК. (wikisec не читали :-) )

    1. «Осуществление деятельности по технической защите конфиденциальной информации»;
    2. «Осуществление деятельности по разработке и(или) производству средств защиты конфиденциальной информации».

    ОтветитьУдалить
  10. В лицензии прописываются конкретные виды деятельности... разработка, реализация, и т.п.

    ОтветитьУдалить
  11. А лицензия по ТЗКИ тоже подразделяется.
    На мероприятия и (или) оказание услуг.
    Так что "Консультурующую в области защиты ПДн" контору надо лицензировать именно по "оказанию услуг"

    Кстати, не согласен с автором блога, что "для себя лицензия не нужна". А кому тогда получать лицензию по ТЗКИ на "мероприятия"?

    ОтветитьУдалить
  12. 2 Ledokol
    У Вас есть великолепная возможность уточнить вопрос у первоисточника...
    http://www.fstec.ru/_razd/_osn.htm

    ОтветитьУдалить
  13. LEDOKOL, а откуда взяли про разделени лицензий? В каком документе?

    ОтветитьУдалить
  14. To Евгений Родыгин.
    Я не понял, Евгений, ЧТО мне надо уточнять во ФСТЭКе?
    За ссылочку спасибо, но она зачем?
    На что дальше там жать?
    Телефоны, адреса и фамилии я и так прекрасно знаю.
    К кому Вы предлагаете обратиться, а главное, для чего?
    Вы хотите сказать, что если Вы у себя построили ИСПДн (К1, К2, К3 распр.) и ее эксплуатируете, при этом не заключив договор с лицензиатом ФСТЭК на аутсорсинг, то Вам не нужна лицензия??!!
    Ну-ну, блажен, кто верует...

    ОтветитьУдалить
  15. To Евгений Родыгин.

    Я не понял, Евгений, ЧТО мне надо уточнять во ФСТЭКе?

    - Уточните Ваш вопрос по лицензиям.

    За ссылочку спасибо, но она зачем?
    На что дальше там жать?
    Телефоны, адреса и фамилии я и так прекрасно знаю.
    К кому Вы предлагаете обратиться, а главное, для чего?

    - для того чтобы уточнить Ваш вопрос.

    Вы хотите сказать, что если Вы у себя построили ИСПДн (К1, К2, К3 распр.) и ее эксплуатируете, при этом не заключив договор с лицензиатом ФСТЭК на аутсорсинг, то Вам не нужна лицензия??!!

    - если бы хотел так сказать - так бы и сказал!

    Ну-ну, блажен, кто верует...

    -
    Блажен, кто верует, не видевши Тебя.
    А где же - миру Свет, слепцам - прозренье?
    Слепая вера есть и у меня,
    Вот только не дает мне утешенья.

    Лишь знаю, что в Твоих руках судьба,
    И право: ставить справа или слева.
    Свободного Ты любишь иль раба?
    Святого иль вкусившего от древа?

    Сказал: "Стою у двери и стучу."
    Блажен, кто слышит...Сердцем замирая,
    Я так услышать голос Твой хочу,
    Еще хочу любить - Любви не зная.

    Есть двери разные: парадные и нет,
    И есть дома, что чистотой сверкая -
    Стоят и ждут. В них есть огонь и свет,
    И Ты стучишься в них, - других не зная?

    Мой дом же пуст, открытый всем ветрам.
    Погас огонь, не давши обогреться.
    Лишь пыль гоняет ветер по углам
    Измученного, раненого сердца.

    Прости...То не укор , то - боль моя,
    Не осужденье - стон, не ропот - мука.
    Не слышу я, хоть Ты услышь меня!
    Молю, прошу - войди ко мне без стука.

    ОтветитьУдалить
  16. To С.
    Не о "разделении", а о ПОДразделении. И почему взял?
    Прочитал...
    Посмотрите п.2 Положения, утв. ПП 504 от 15.08.2006:
    http://www.fstec.ru/_razd/_lico.htm

    На лицензии по ТЗКИ написано: "ФСТЭК разрешает осуществление мероприятий и оказание услуг по ТЗКИ".
    Это если Вы заявляетесь на полную лицензию.
    А если "тока для сэбе" - то пишут просто "осуществление мероприятий" и тогда услуги Вы не имеете права оказывать под страхом КоАПа.
    И наоборот.

    Возвратясь к п.2 ПП 504, обращаю внимание на вот это: "и (или)".
    О чем это говорит?
    О том, что может быть или "мероприятия" или "оказание услуг" или же и то и другое вместе.

    Вот, собственно и все...

    ОтветитьУдалить
  17. Вот это да!!!!
    Евгений, спасибо!
    Не могу узнать автора - не подскажете?
    Стихотворение сохраняю и печатаю.

    А по лицензиям действительно не понимаю - что уточнять?
    Правильность или неправильность ПП 504 и Административного регламента?

    Да и не вопрос был у меня, а ответ...

    ОтветитьУдалить
  18. 2 Ledokol

    Судя по блогерным настроениям(постам), больной голове и т.п. подозреваю сегодня были магнитные бури...

    Попив кофейку и съев таблетку - понял что спутал Вас с автором "С" который вопрос задавал... каюсь...

    ОтветитьУдалить
  19. По лицензиям:
    1. Те кто занимается распространением программно-аппаратных средств защиты и технических средств, сертифицированных ФСТЭК - лицензия ТЗКИ не нужна.
    2. Те кто занимается настройкой программно-аппаратных средств и технических средств, сертифицированных ФСТЭК - лицензия ТЗКИ нужна.

    Таким образом Вы можете проводить предпроектное исследование и поставлять средства защиты информации без внедрения (настройки) в организацию.
    Как только речь идет о настройке, то сразу должна вырисовываться лицензия ТКЗИ.

    ОтветитьУдалить
  20. Евгений, все нормально!
    Рад разговору с Вами.
    Стихи великолепны!

    Анонимному: +1
    Спасибо за уточняющее дополнение.

    ОтветитьУдалить
  21. В соответствии с "Положение о государственном лицензировании деятельности в области защиты информации. (Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 27 апреля 1994 г. №10(с изменениями и дополнениями от 24 июня 1997 г. №60))"

    Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию Гостехкомиссией России (ФСТЭК России).

    Разработка, производство, РЕАЛИЗАЦИЯ, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации.

    на сайте ФСТЭК России или на wikisec.ru статья "Порядок лицензирования ФСТЭК России".

    ОтветитьУдалить
  22. Однако,
    Представители ФСТЭК России иногда толкуют по разному. Надеюсь со временем все встанет на свои места...

    ОтветитьУдалить
  23. 10-е решение никому не интересно ибо статус этого документа очень непрост ;-) Особенно ввиду выпуска ФЗ-128 и ПП-504.

    ОтветитьУдалить
  24. 128-ФЗ: распростр. на
    деятельность, связанная с защитой государственной тайны;
    - что бы это значило ? без иронии.

    ПП-504:
    3. Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю (далее - лицензирующий орган).

    Вернулись к ФСТЭК, однако, ФСТЭК учел все положения ПП-504 ?

    ОтветитьУдалить
  25. Перечень лицензируемых видов деятельности не может определяться органом исполнительной власти - это не в его компетенции.

    ОтветитьУдалить
  26. Нет Вы послушайте его - ОН мне говорит что Я ОПТИМИСТ !!!

    ОтветитьУдалить
  27. Никто не заметил что
    "128-ФЗ: распростр. на
    деятельность, связанная с защитой государственной тайны;
    - что бы это значило ? без иронии."

    надо писать НЕ распростр...

    ОтветитьУдалить
  28. 128-ФЗ

    http://www.consultant.ru/popular/license/38_1.html#p325

    17 статья со всякими правками.
    Вопрос о действии только.

    10) деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

    11) деятельность по технической защите конфиденциальной информации;

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.