tag:blogger.com,1999:blog-4065770693499115314.post746925680918884432..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: О лицензировании деятельности по защите информации и криптографииАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger22125tag:blogger.com,1999:blog-4065770693499115314.post-4050432038929521482014-04-04T08:49:17.137+04:002014-04-04T08:49:17.137+04:00Собтвенные нужды оператора можно привязать к его И...Собтвенные нужды оператора можно привязать к его ИСПДн: для нужд защиты информации, обрабатываемой в ИСПДн оператораNikita Gololobovhttps://www.blogger.com/profile/08339373578194728170noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-69510733821519007172014-04-03T14:43:35.397+04:002014-04-03T14:43:35.397+04:00Мне кажется ФЗ о банках запрещает получать прибыль...Мне кажется ФЗ о банках запрещает получать прибыль от непрофильной деятельностиАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-64919856710598909502014-04-03T14:19:41.929+04:002014-04-03T14:19:41.929+04:00Подскажите пожалуйста, в случае, если Банк получил...Подскажите пожалуйста, в случае, если Банк получил такую лицензию от ФСБ, имеет ли он право получать прибыль от деятельности с СКЗИ по данной лицензии. Например изготавливать ЭП для сторонних организаций с целью получения прибыли.Anonymoushttps://www.blogger.com/profile/13925312111143635793noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-20629634036136521622014-03-15T01:42:18.107+04:002014-03-15T01:42:18.107+04:00Коллеги, всем спасибо. Мысли собрал, идеи уловил. ...Коллеги, всем спасибо. Мысли собрал, идеи уловил. Пошел думать над формулировкамиАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-73478166670410257482014-03-13T07:10:30.736+04:002014-03-13T07:10:30.736+04:00Tomas, Уловил. Вы рассуждаете исходя из того, что ...Tomas, Уловил. Вы рассуждаете исходя из того, что оператор стремится уйти от исполнения закона.<br />Мои же рассуждения были направлены на то, как облегчить жизнь честному оператору. Небольшой компании или ИП, которым на интегратора денег выделить сложно. Скажем, для реализации проекта по защите ИСПДн денег наскребут, но получать лицензию для обслуживания СКЗИ или нанимать для этого аутсорсера уже сложно. При этом аутсорсер, учитывая масштабы заказчика, должен быть недорогим. А имея лицензию ФСБ он наверное таковым вряд ли будет.<br />Думаю, что обе точки зрения не идеальны.<br />Кстати, как раз для получения лицензии операторы могут номинально нанять в штат специалиста с профильным образованием. В реале он ИП-шнику или маленькой конторке не нужен.<br />Замкнутый круг прям... Anonymoushttps://www.blogger.com/profile/06514002979665635091noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-36704602942687518372014-03-12T21:36:25.736+04:002014-03-12T21:36:25.736+04:00Антон, лицензия нужна как доказательство того, что...Антон, лицензия нужна как доказательство того, что компания обладает необходимым оборудованием, специалистами и т.д., для выполнения работ по ЗИ. <br />Если нужно соответствовать законодательству по ПДн (152-ФЗ), КТ (98-ФЗ) и т.д. то не нужно иметь ни оборудование, ни специалистов? У нас штрафы смешные, гораздо проще закрыть юр.лицо и открыть новое (я про мелкие компании, крупные лицензии имеют и так, либо интеграторов нанимают)и не нести никакой ответственности ни за что, все ж в собственных нуждах. <br />Тогда нужно добавить, что в случае собственных нужд, при наличии компетентных специалистов (так как этого требования в 152-ФЗ или 98-ФЗ нет), для выполнения требований законодательства. Но мне кажется, это слишком мудрено...Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-74278514339638702682014-03-12T14:23:01.016+04:002014-03-12T14:23:01.016+04:00Tomas, Я как Петька нутром чувствую, а по полкам р...Tomas, Я как Петька нутром чувствую, а по полкам разложить не могу, чем плохо притягивать к законодательству. Конкретные примеры проблем? Оператор в зоне своей ответственности обеспечивает шифрование каналов связи и, соответственно поддержку оборудования. Ему на то не требуется лицензия. Инфа защищается, оператору облегчение, интегратор отдыхает. Чего я не учел?Anonymoushttps://www.blogger.com/profile/06514002979665635091noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-70131795660491604212014-03-12T13:10:54.745+04:002014-03-12T13:10:54.745+04:00Этот комментарий был удален автором.Вадимhttps://www.blogger.com/profile/15997948930239482927noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-37010207524729666612014-03-12T12:58:41.284+04:002014-03-12T12:58:41.284+04:00Александр, ясность в вопросе "а есть ли конфи...Александр, ясность в вопросе "а есть ли конфиденциальная информация?" уже обсуждался в этом блоге после выхода 200-фз, в котором законотворцы пытались привести терминологию в единое русло.Вадимhttps://www.blogger.com/profile/15997948930239482927noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-7338116689775137072014-03-12T10:28:56.520+04:002014-03-12T10:28:56.520+04:00Вадим,
"Поэтому более удобного случая навести...Вадим,<br />"Поэтому более удобного случая навести порядок в терминологии и привести всё к общему знаменателю может больше не представиться".<br /><br />Мне вот тоже хочется ясности в вопросе "а есть ли конфиденциальная информация?". Но боюсь, что изменения в ФЗ-99 просто приведут к необходимости переоформления "бессрочных" лицензий на ТЗКИ и на разработку и производство СЗКИ.Александр Германовичhttps://www.blogger.com/profile/18057556185866798562noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-38417007250691079402014-03-12T08:45:01.625+04:002014-03-12T08:45:01.625+04:00Антон, тогда все будет притянуто к законодательств...Антон, тогда все будет притянуто к законодательству... аутстафинг специалистов, вместо услуг интегратора.<br />Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-84212185844722525752014-03-12T08:33:15.753+04:002014-03-12T08:33:15.753+04:00А может как-то зайти с позиции того, что это не со...А может как-то зайти с позиции того, что это не собственная нужда, а обязанность, возложенная законодательством?<br />Соответственно формулировка примерно следующая: <br />"...за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется <b> в целях выполнения требований, возложенных законодательством на юридическое лицо или индивидуального предпринимателя, в зоне его ответственности в соответствии с положениями законодательства </b>"Anonymoushttps://www.blogger.com/profile/06514002979665635091noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-76530173210330687222014-03-11T22:51:37.402+04:002014-03-11T22:51:37.402+04:00Алексей, мне вспоминается, что Лютиков как раз на ...Алексей, мне вспоминается, что Лютиков как раз на одном из форумов пару лет назад ссылался именно на закон о лицензировании, дескать, именно из-за него ФСТЭКу приходится упоминать этот атавизм (КИ). Поэтому более удобного случая навести порядок в терминологии и привести всё к общему знаменателю может больше не представиться. Вы уж постарайтесь :)Вадимhttps://www.blogger.com/profile/15997948930239482927noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-33200501547042011312014-03-11T21:35:26.586+04:002014-03-11T21:35:26.586+04:00От КИ уйти не удастся пока. Это потребует изменени...От КИ уйти не удастся пока. Это потребует изменения формулировок и относительно ФСТЭК, а это уже сложноАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-1656284499689693702014-03-11T12:21:37.693+04:002014-03-11T12:21:37.693+04:00Получается примерно следующее:
п. 1 "деятель...Получается примерно следующее:<br /><br />п. 1 "деятельность по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну"<br /><br />п. 5 ...(за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется на безвозмездной основе для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)Вадимhttps://www.blogger.com/profile/15997948930239482927noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-35556342672828288332014-03-11T12:14:44.567+04:002014-03-11T12:14:44.567+04:00Коллеги, если критерий получать лицензию или нет =...Коллеги, если критерий получать лицензию или нет = бесплатно, то просто все будут писать, что это бесплатно, а деньги брать за другие услуги. Так лицензиатов не останется :) Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-28807397689760047232014-03-11T12:02:24.939+04:002014-03-11T12:02:24.939+04:00по п. 1 однозначно менять в соответствии с трендом...по п. 1 однозначно менять в соответствии с трендом термин "КИ" на "информацию ограниченного доступа, не содержащую сведений, составляющих гостайну"<br /><br />по п. 5 согласен с Сергеем - необходимо подчеркнуть, что если услуга третьим лицам за деньги - получи лицензию, если бесплатно для собственных нужд - не надо. Моё мнение - защита ПДн сотрудников - это нужды и предприятия, и сотрудника; защита канала до клиента в рамках ДБО - и клиента, и банка. Здесь нет незаинтересованных сторон. А межофисное взаимодействие по каналам связи общего пользования - зависит от взаимодействия офисов, вариантов несколько.Вадимhttps://www.blogger.com/profile/15997948930239482927noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-75710735855685427912014-03-11T11:45:59.823+04:002014-03-11T11:45:59.823+04:00Tomas: ФЗ выше по статусу. Если поменять ФЗ, то и ...Tomas: ФЗ выше по статусу. Если поменять ФЗ, то и ПП-313 придется менять.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-19094753954610981102014-03-11T10:42:35.404+04:002014-03-11T10:42:35.404+04:00Alexander, если "собственные нужды" = хр...Alexander, если "собственные нужды" = хранение КИ юр.лица у себя без передачи другому лицу, то работа встанет, ИМХО.Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-85554208166560524502014-03-11T10:42:32.343+04:002014-03-11T10:42:32.343+04:00В формулировке должно быть "возмездное оказан...В формулировке должно быть "возмездное оказание услуг по технической защите ..." или "предпринимательская деятельность по защите ..."<br />2 мин. назад · Нравится<br /><br />Только вот должно распространяются на защиту не любой информации, а "информации ограниченного доступа" или "ИС, обязанность обеспечивать безопасность информации в которых установлена законодательством"<br />Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-75823417543545295962014-03-11T10:16:50.828+04:002014-03-11T10:16:50.828+04:00п. 1 расписан в ПП 313. И если что-то и менять, то...п. 1 расписан в ПП 313. И если что-то и менять, то там.<br />п. 5 имеет смысл дополнить теми же собственными нуждами.<br /><br />Собственные нужды обозначить, как не связанные с передачей конфиденциальной информации юр. лицом от/к другиим юр. или физ. лицам, и разумеется. не предоставляемые, как услуга.Alexanderhttps://www.blogger.com/profile/07146477077113487318noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-48056957493598340682014-03-11T09:03:22.028+04:002014-03-11T09:03:22.028+04:00Было бы не плохо сначала понятие "конфиденциа...Было бы не плохо сначала понятие "конфиденциальная информация" определить...<br />"Деятельность по технической защите конфиденциальной информации, принадлежащей данному юридическому лицу, индивидуальному предпринимателю", но сразу встает вопрос о ПДн работников, это же КИ их, а не работодателя. Tomashttps://www.blogger.com/profile/08380131738088408530noreply@blogger.com