tag:blogger.com,1999:blog-4065770693499115314.post2318787630000264022..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Лицензия на ТО СКЗИ "для себя" нужна!Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger32125tag:blogger.com,1999:blog-4065770693499115314.post-60186321130120453342011-04-16T01:11:17.857+04:002011-04-16T01:11:17.857+04:00в отношении пункта "К" положения - понят...в отношении пункта "К" положения - понятие технологический канал информационно-телекоммуникационной системы отсутствует в законодательстве, может он в госте есть но найти не получается, по всему любую ЛВС можно к данному пункту притянутьМатроскinhttps://www.blogger.com/profile/13876557089820053177noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-91528837934415647642010-09-14T13:29:16.826+04:002010-09-14T13:29:16.826+04:00И? Каково резюме?И? Каково резюме?Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-16352542012898031612010-09-14T02:02:30.842+04:002010-09-14T02:02:30.842+04:00Не нужно придираться к термину "деятельность&...Не нужно придираться к термину "деятельность". В Законе "О лицензировании..." определены критерии отнесения той или иной деятельности к лицензируемой. Это возможность нанесения ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию...<br /><br />Например, хранение взрывчатых материалов промышленного назначения - лицензируемый вид деятельности, т.к. если вы храните неправильно, могут погибнуть люди. И неважно, прописана ли эта деятельность у вас в уставе или нет и храните вы для собственных нужд или нет.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-9453080136815345692010-07-16T00:05:47.749+04:002010-07-16T00:05:47.749+04:00Также примерно думали руководители 15 банков, прот...Также примерно думали руководители 15 банков, против которых ФСБ возбудила уголовные дела за отсутствие лицензий на криптографию...Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-19095636441357007982010-07-15T17:33:39.987+04:002010-07-15T17:33:39.987+04:00При осуществлении предпринимательской деятельности...При осуществлении предпринимательской деятельности лицензия НУЖНА.<br />Если юр. лицо осуществляет какие то операции ДЛЯ СЕБЯ, то это не является деятельностью.<br />Это всё равно, что для того чтобы проводить внутренний аудит в организации ей сначала нужно получить лицензию. Бери да проводи, для этого лицензия не нужна.<br />А то что в письмах там пишется это всё не имеет отношения к законодательству, они могут писать всё что угодно. Письмами можно получать разъяснения по тем или иным ОТРАСЛЕВЫМ операциям, а как конкретно ФСБ вам может разъяснить суть того или иного нормативного акта. Обращайтесь в СУД.<br />Так что друзья не бойтесь :-))))Unknownhttps://www.blogger.com/profile/00981706061203872857noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-29787054517545158352010-07-08T10:26:10.458+04:002010-07-08T10:26:10.458+04:00Консолидированное мнение (из нескольких источников...Консолидированное мнение (из нескольких источников) получается таким, что раз все операторы "оказывают услуги субъектам ПДн по защите их ПДн", то все без исключения операторы долны получить соответствующие лицензии ТЗКИ и СКЗИ. При этом, операторы-коммерсанты доджны при регистрации (перерегистрации) вносить в учредительные документы основные виды деятельности, связанные с ТЗКИ и СКЗИ, и получать соответствующие лицензии - без этого никакой коммерческой деятельности. "А для операторов-муниципалов есть СТРК и много чего еще". То есть - тотальное, поголовное лицензирование. Как вам такая точка зрения, господа? :)Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-51458361982399105252010-07-08T09:43:10.097+04:002010-07-08T09:43:10.097+04:00> to Алексей Волков: Если бы хотели лицензирова...> to Алексей Волков: Если бы хотели лицензировать только деятельность, направленную на извлечение прибыли, то так бы и написали в 128-ФЗ "О лицензировании отдельных видов предпринимательской деятельности".<br />Нет?<br /><br />Нет, потому как законодательство у нас в стране - чудная (ударение поставьте сами) вещь. Например, ведутся споры, что формулировка "сведения о частной жизни" = "сведения об интимной жизни"... Так что все решает суд. Если, когда ФСТЭК предъявит отсутствие лицензии, Вы убедите судью, что "деятельность" = "предпринимательская деятельность" и потому лицензия Вам не нужна, значит так оно и есть. Пока никаких прецедентов разбирательства по этому поводу мне не известно.Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-68548565659295112692010-07-07T17:44:22.561+04:002010-07-07T17:44:22.561+04:00нетнетpushkinisthttps://www.blogger.com/profile/12741340648681850497noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-7887918414377936792010-07-07T17:30:24.848+04:002010-07-07T17:30:24.848+04:00to Алексей Волков: Если бы хотели лицензировать то...to Алексей Волков: Если бы хотели лицензировать только деятельность, направленную на извлечение прибыли, то так бы и написали в 128-ФЗ "О лицензировании отдельных видов <b>предпринимательской </b> деятельности".<br />Нет?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-61979058582321695442010-07-06T17:28:32.689+04:002010-07-06T17:28:32.689+04:00На сайте и не будет. Это официальный запрос и офиц...На сайте и не будет. Это официальный запрос и официальный ответ был.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-78053410516202951282010-07-06T10:52:49.101+04:002010-07-06T10:52:49.101+04:00to Svidin: ответ написал здесь: http://anvolkov.bl...to Svidin: ответ написал здесь: http://anvolkov.blogspot.com/2010/07/blog-post_06.html.Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-61170914727533744452010-07-06T09:30:30.176+04:002010-07-06T09:30:30.176+04:00to Svidin: ГК регулирует как раз предпринимательск...to Svidin: ГК регулирует как раз предпринимательскую деятельность - см. ст. 2 - что попадает под область действия ГК. "Деятельность" в понимании обывателя в терминах ГК дается более конкретное определение: "Предпринимательская деятельность" = "деятельность направленная на извлечение прибыли". Необходимость получения лицензий на отдельные виды "деятельности" = "деятельности направленной на извлечение прибыли" определяется ст. 49 того же ГК, и отсюда же вытекает требование получения лицензий ФСТЭК и ФСБ. Такая логика.Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-41261491633157127282010-07-05T07:50:32.197+04:002010-07-05T07:50:32.197+04:00Алексей, будте добры. подскажите, где можно ознако...Алексей, будте добры. подскажите, где можно ознакомиться с этим официальным ответом ?? На fsb.ru не нашел.exp001https://www.blogger.com/profile/10693807852299857551noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-14632027321700276042010-07-03T14:44:41.301+04:002010-07-03T14:44:41.301+04:00>В ГК написано, что деятельность - это извлечен...>В ГК написано, что деятельность - это извлечение прибыли.<br /><br />И где в ГК такое написано? Там речь идет о предпринимательской деятельности.Svidinhttps://www.blogger.com/profile/05982692437588682770noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-28718913124407196072010-07-02T23:47:52.330+04:002010-07-02T23:47:52.330+04:00У ФСТЭК всегда было такое мнениеУ ФСТЭК всегда было такое мнениеАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-79817098573936747042010-07-02T17:12:11.728+04:002010-07-02T17:12:11.728+04:00По ходу дела вопрос становится несколько шире. Вот...По ходу дела вопрос становится несколько шире. Вот здесь про ответ ФСТЭКа на запрос Минздравсоцразвития о необходимости получения лицензии на деятельность по ТЗКИ учреждениями здравоохранения, социальной сферы, труда и занятости, когда технические мероприятия осуществляются для собственных нужд <br />Опубликовано на днях <a rel="nofollow">http://www.minzdravsoc.ru/docs/others/15</a><br />странно, но видимо теперь всем, по мнению ФСТЭК, необходимо получать лицензию...Лео Хараненhttps://www.blogger.com/profile/13538995791250796291noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-35449789566680478132010-07-02T13:59:58.906+04:002010-07-02T13:59:58.906+04:00ну подумайте, лицензировать шифрование между отдел...<i><br />ну подумайте, лицензировать шифрование между отделами внутри организации нет смысла, ибо если произойдет утечка/компрометация и т.п. что приведет к убыткам. убыток понесет только сама организация а не третье лицо, соответственно смысла в надзоре нет.<br /></i><br /><br />Никак нет : в случае утечки персональных данных ущерб несет субъект ПДн, поэтому и раскрутился маховик машины госрегулирования в этой области.xchg ax,axhttps://www.blogger.com/profile/13248368872971084509noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-1476132104597295372010-07-02T02:42:06.764+04:002010-07-02T02:42:06.764+04:00ну генерация ключей не входит в техобслуживание.
...ну генерация ключей не входит в техобслуживание. <br />обычно если ключи генерятся (или например сертификат выдается) для себя, то это считается экплуатацией, и лицензия не нужна.<br />а если это же самое делается для других, то это подпадает под оказание услуг, поэтому нужна лицензия на оказание услуг.<br /><br />а техническим обслуживанием считается то, что входит в регламентные работы, предусмотренные документацией: например, монтаж, диагностика, профилактика, ремонт и т.д.<br />тут независимо от того, для кого это все делается, нужна якобы лицензия.<br /><br />установку можно взвалить на поставщика, "ремонт скзи" вряд ли кто-то делает "для себя", но вот под диагностику много чего можно подогнать.<br />имхо тут все достаточно индивидуально, но есть одна штука, которая называется устав организации, где прописывается деятельность, которой организация занимается. <br />если в уставе не написано: "техобслуживание шифровальных средств", то лицензия не нужна.<br />сомневаюсь, что для своих нужд кто-то такое включает в устав.<br /><br /><br />а что касается персональных данных и криптографии, то тут есть ведь административный регламент фсб по надзору в испдн, который ничего не упоминает по поводу того, что при проверке будут затребованы лицензии на осуществление деятельности, связанной с криптосредствами, а в списке нормативных документов с требованиями ни пп 957, ни инструкция 152 фапси не упоминаются.<br />так что "оказание услуг субъектам по защите пдн" - это бред и выдумки.pushkinisthttps://www.blogger.com/profile/12741340648681850497noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-46867011637999257382010-07-01T23:57:27.694+04:002010-07-01T23:57:27.694+04:00Требуется ли лицензия на осуществление деятельност...Требуется ли лицензия на осуществление деятельности по техническому обслуживанию шифровальных средств, если компания эксплуатирует шифровальные средства только для собственных нужд? Например, в случаях защищенного подключения удаленных филиалов и дополнительных офисов к центральному офису по VPN-каналам или в случаях шифрования резервных копий информации.<br /><br />Требуется ли лицензия на осуществление деятельности по техническому обслуживанию шифровальных средств для компании, которая, являясь участником (не оператором) системы электронного документооборота, самостоятельно и только для себя устанавливает средства шифрования и генерирует ключи шифрования? Например, в случае использования системы Интернет-банкинг, когда средства шифрования устанавливаются клиентом (часто в прозрачном режиме) и клиент (для исключения компрометации ключей со стороны банка) самостоятельно генерирует ключевую информацию?Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-26550363946217953602010-07-01T16:10:41.527+04:002010-07-01T16:10:41.527+04:00а как запрос был сформулирован?а как запрос был сформулирован?pushkinisthttps://www.blogger.com/profile/12741340648681850497noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-36555911269892274692010-06-30T16:01:33.042+04:002010-06-30T16:01:33.042+04:00>Услуги по защите информации криптографическими...>Услуги по защите информации криптографическими средствами оказываются владельцу (обладателю, оператору) <b>информации</b> и <b>информационной системы</b>. Субъект таковым не является. Так что товарищ путает тепло с мягким.<br /><br />Вот если оказываются услуги по защите <b>информации</b>, тогда получается оказание услуг субъекту ПДн.<br />А если осуществляется защита <b>информационной системы</b>, тогда получается мы работаем сами для себя.<br /><br />Какую формулировку писать в своих документах каждый решает сам для себя)))Александр Шелиповhttps://www.blogger.com/profile/03295708654925528816noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-19029427304529390332010-06-30T16:00:09.766+04:002010-06-30T16:00:09.766+04:00Этот ответ не есть истина, в региональном ФСБ прид...Этот ответ не есть истина, в региональном ФСБ придерживаются простому правилу: "Получил денежную выгоду с услуг шифрования, лицензируйся, если нет то нет"<br /><br />ну подумайте, лицензировать шифрование между отделами внутри организации нет смысла, ибо если произойдет утечка/компрометация и т.п. что приведет к убыткам. убыток понесет только сама организация а не третье лицо, соответственно смысла в надзоре нет.<br /><br />"внутри себя" стройте что хотите и как хотите, лишь бы себе не во вредАлександрhttps://www.blogger.com/profile/06147197845281637200noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-1065202978875534272010-06-30T15:49:46.390+04:002010-06-30T15:49:46.390+04:00to Анонимный: Услуги по защите информации криптогр...to Анонимный: Услуги по защите информации криптографическими средствами оказываются владельцу (обладателю, оператору) информации и информационной системы. Субъект таковым не является.<br /><br />Что-то, воля Ваша, Вы сами перепутали. Кто ж еще, как не субъект ПДн, является владельцем своих собственных ПДн?Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-87344864540943527752010-06-30T15:21:32.955+04:002010-06-30T15:21:32.955+04:00>Логика такова: т.к. оператор защищает ПДн субъ...>Логика такова: т.к. оператор защищает ПДн субъектов,используя при этом СКЗИ, значит он оказывает субъектам ПДн услуги по шифрованию информации.<br /><br />Услуги по защите информации криптографическими средствами оказываются владельцу (обладателю, оператору) информации и информационной системы. Субъект таковым не является. Так что товарищ путает тепло с мягким.<br /><br />>Правда, это касается только построения VPN:" ... используемых для защиты технологических каналов ..."<br /><br />Опять же не надо вводить людей в заблуждение. Под технологическими каналами имеются в виду каналы управления средствами и системами, а уж никак не каналы передачи данных. Уж в этом то у ФСБ неопределенности нет.<br /><br />По теме, очень грустно, что этот вопрос ФСБ повела в эту сторону.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-82850814467979413952010-06-30T12:23:14.171+04:002010-06-30T12:23:14.171+04:00В Постановлении №957 есть замечательный пункт 1.к,...В Постановлении №957 есть замечательный пункт 1.к, который отметает необходимость лицензирования. Правда, это касается только построения VPN:<br />"Настоящее Положение не распространяется на деятельность по распространению (техническому обслуживанию, предоставление услуг в области шифрования информации с использованием)... шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей, не относящихся к критически важным объектам".Anonymousnoreply@blogger.com