?

Log in

No account? Create an account

Previous Entry | Next Entry

Постановление 79

Давненько я не брал в руки шашек занимался защитой персональных данных. Потому и появились у меня следующие вопросы:
Имеется у нас Постановление 79, которое говорит
п. 4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:

е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).


Исходя из вышесказанного я правильно понимаю, что я как сисадмин бюджетной конторы, назначенный админом ИБ (что думаю не правильно, т.к. должны быть возложены обязанности админа ИБ, из-за отсутствия в штатном расписании должности админ ИБ), не имеющий образования по ИБ, не имеющий в запасе ни одного пройденного курса по безопасности персональных данных (сертифицированного ФСТЭК) не имею также и права на
переустановку и настройку СЗИ, антивируса, какого-нибудь там випнета и т.д.?

Предположим, что у меня есть в запасе пройденный курс типа "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных". Со всеми полученными документами от этого курса. Но получается, что я все равно не могу обслуживать софт по причине, что малая бюджетная контора не имеет, и не будет никогда получать лицензию на техническую защиту. И для любой перенастройке того же випнета (туннель дополнительный прописать) я должен вызвать кого-то кто имеет такую лицензию.

Поправьте меня, где я не прав.

Comments

( 18 comments — Leave a comment )
guamoco
Apr. 27th, 2013 06:16 am (UTC)
Вы не правы.
1. Назначать админа по ИБ руководитель организации вправе любого сотрудника, если он считает, что этот сотрудник справится со своими обязанностями. Требований к уровню образования админов по ИБ в законодательсвте нет (правда, они могут быть в ведомственных или отраслевых норм. документах, так что поинтересуйтесь.
2. Для собственных нужд получение лицензии не требуется, она нужна в случае, если ваша организация оказывает услуки по ТЗКИ или получает с этого доход. По этому поводу ФСТЭК специально выпускал инф. сообщение №240/22/2222 от 30 мая 2012г, в которм разъяснял свою точку зрения на этот счет.
serge_ivanov
Apr. 27th, 2013 06:50 am (UTC)
1) Назначить или Возложить обязанности? Это разные формулировки с точки зрения кадровой службы.
2) Данное разъяснение очень мутное. К примеру по этой ссылке
http://www.itsec.ru/articles2/pravo/ivan-melehin-fomulirovki-zakona-o-olicenzirovanii/ гражданин приходит к выводу
Из всего вышесказанного можно сделать довольно малоприятный вывод, заключающийся в том, что любая организация, осуществляющая (далее дадим формулировку закона подставляя определения терминов из подзаконных актов) комплекс мероприятий и (или) услуг по защите персональных данных от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней, должна получить лицензию на деятельность по технической защите конфиденциальной информации.

Мы контора бюджетная - мы должны защищать персональные данные граждан. Но прибыли мы из этого не извлекаем. А просто исполняем 152-ФЗ
guamoco
Apr. 27th, 2013 07:03 am (UTC)
1. Причем здесь кадровая служба? Речь о том, каковы требования к сотруднику, который будет назначен либо будет исполнять обязанности админа по ИБ. Требований нет, решение принимает руководитель организации. Дело кадровика телячье: оформить решение. Не заморачивайтесь.

2. Да, таких любителей покалякать о тех или иных положениях законодательства в Сети предостаточно. К сожалению, наши законы пишут так, что можно придти практически к какому угодно выводу.
Я вам привел официальное мнение регулятора, который, собственно, и выдает лицензии на ТЗКИ. Другого мнения я не знаю, и для вашего случая там все достаточно понятно и однозначно: оязаны защищать ПДн - защищайте, лицензия на установку СЗИ не вам не требуется.
Хотите руководствоваться мнением Ивана Мелехина? Пожалуйста. Приедет к вам ФСТЭК - покажете ему эту статью.
serge_ivanov
Apr. 27th, 2013 08:31 am (UTC)
1) Служба ИТ обычно работает во взаимодействии с другими службами. Так что проблемы известны. При неправильном кадровом оформлении прилетит и руководителю и кадровой службе. Бывало уже, при проверках с вышестоящих структур.
2) Постараюсь вам поверить, что лицензия мне не нужна. Т.к. самому же легче работать.
pterro
Apr. 27th, 2013 07:29 pm (UTC)
Начнем с того, что само постановление относится к тем конторам, которые оказывают услуги на стороне.. внутренние услуги не лицензируются..
А из вашего описания совершенно не ясен факт оказания Вашей организацией услуг по технической защите информации сторонним организациям..
serge_ivanov
Apr. 27th, 2013 07:33 pm (UTC)
я как сисадмин бюджетной конторы,
skip
не имею также и права на
переустановку и настройку СЗИ, антивируса, какого-нибудь там випнета и т.д.?

Вопрос: почему тогда многие, типа гражданина Мелехина из Информзащиты, посчитали, что внутренняя деятельность должна лицензироваться:?
pterro
Apr. 27th, 2013 08:44 pm (UTC)
Блять - у меня нет других слов - что вы талдычите свое?? Я вам задал конкретный вопрос - оказываете ли вы УСЛУГИ по настройке всей этой херни сторонней организации??

Или вы не знаете значение слова "услуга"??

Если вы услуги не оказываете, то данное постановление к вам неприменимо..
А если оказываете - то вам бежать к начальству и требовать организации в вашей конторе 1 отдела и получения вами допуска 3 категории..

я не знаю, что там господин Мелехин нес - видимо, перекурил..
Ибо в четверг кто-то там из информзащиты такую хрень нес, что я не стал его даже слушать - ушел курить из зала..
Информзащита - зарабатывает деньги на ЗИ.. Чем больше уговорят клиента - тем больше бабла на пустом месте срубят..
serge_ivanov
Apr. 28th, 2013 04:15 pm (UTC)
Блять. Вроде по всей постановке вопроса ясно, что я спрашиваю про себя, и про свою контору. Которая понятно, что услуги другим по защите информации не представляет.
pterro
Apr. 28th, 2013 06:27 pm (UTC)
Вот как раз из постановки вопроса это и не ясно!

но повторяю: нет сторонних услуг - ни о каком лицензировании речи быть не может.
serge_ivanov
Apr. 28th, 2013 04:18 pm (UTC)
А в постановлении сказано:
подлежат следующие виды работ (и услуг)

Настройка имеющегося у меня випнета - не работа моя со средствами защиты информации?
А зная наши контролирующие органы я не удивлюсь, если они посчитают именно так.
pterro
Apr. 28th, 2013 06:32 pm (UTC)
все, что относится к шифрованию - находится в ведении ФСБ..
так вот.. как ни удивительно, но установка клиент-банка с использованием любого российского криптопровайдера - это УЖЕ установка шифросредств!!..
Исходя из этого лицензии должны были бы иметь ВСЕ организации страны..

Именно исходя из этого ФСБ не раз заявляло, что лицензированию подлежит исключительно оказание услуг..
скажем, если вы формируете ЭЦП для себя - то фиг бы с ним.. если хоть одна ЭЦП выйдет наружу для организации документооборота - все, это подлежит лицензированию..

ну и выше я уже писал - работы по лицензированию криптухи начинаются с наличия 1 отдела или же прикрепления к 1 отделу другой организации..

ибо 1 этап - запрос официальных нормативных документов из ФСБ через 1 отдел..

на этом фоне проблемы с настройками випнета - плюнуть и растереть.....
(Anonymous)
May. 14th, 2013 05:55 am (UTC)
ZZubra
Что за бред про 1 отдел??? Постановление про лицензирование не читали? ГТ нужна ТОЛЬКО для РАЗРАБОТКИ СЗИ. Все остальное - не 1 отдел, в том числе генерация, установка, поставки и остальные направления, указанные в постановлении правительства.

А по поводу лицензирования - есть у нас понятие аналогии в ГК. Так вот "почему-то" на разработку самолёта "для себя" я должен получать лицензию, или для постройки атомной станции "для себя" (на дачу), а вот для пункта из того же списка про ТЗКИ не нужно! Что-то не сходится. Или у нас есть в одном и том же списке более лицензируемые виды деятельности и менее?

Решение вопроса лежит в иной плоскости. Нарушает подавляющее большинство... Делайте выводы сами.
serge_ivanov
May. 14th, 2013 06:12 am (UTC)
Re: ZZubra
Я правильно понимаю, что это вы не ко мне:)
(Anonymous)
May. 14th, 2013 07:01 am (UTC)
ZZubra
Про 1 отдел не Вам (там у меня очепяточка - СКЗИ, а не СЗИ).

А остальное - Вам.
Единственное уточнение: в ПП о лицензировании СКЗИ - есть фраза про "для себя" в названии (и больше нигде нет), а в ПП по ТЗКИ - такой оговорки нет, и формально устанавливать и НСД (тот же секретнет) и антивирус (если Вы его используете с ЦЕЛЬЮ выполнить государственные требования) и МЭ - вы без лицензии не имеете право.
Что такое "для себя" - тут в толкованиях раздрай и шатание.
Мое видение (упрощенно):
1. если организация является органом криптозащиты (т.е. сама генерит ключики)
И
2. использует эти ключики для защиты информации, которая не подлежит ОБЯЗАТЕЛЬНОЙ защите по законодательству
И
3. не передает ключики сторонним организациям и физическим лицам не работникам (а работникам, только для достижения бизнес целей соответствующих 2 пункту)
Это
"для себя"

Нарушение 2 или 3 пункта и обязательное наличие 1 пункта при этом - это лицензия.

99% организаций не требуется лицензия в силу не выполнения 1-го пункта. Всякие отчетности, госзакупки и т.п. - все делается лицензиатами (УЦ), которые ОБЯЗАНЫ по нормативке ставить, контролировать, разбираться в нарушениях. Дело безопасника проверить договор с таким УЦ на наличие обязанности установок и ведения документации (внесения записей в документацию заказчика).
serge_ivanov
May. 14th, 2013 07:12 am (UTC)
Re: ZZubra
> Дело безопасника проверить договор с таким УЦ на наличие обязанности установок и ведения документации (внесения записей в документацию заказчика).
Наш УЦ находится в другом городе:)
Понятно, что мы это все ставим на месте сами.
А коль органом криптозащиты мы не являемся, следовательно лицензия на криптозащиту нам не требуется.
А с ТЗИ вопрос получается сложнее.
Ваше мнение:
а в ПП по ТЗКИ - такой оговорки нет, и формально устанавливать и НСД (тот же секретнет) и антивирус (если Вы его используете с ЦЕЛЬЮ выполнить государственные требования) и МЭ - вы без лицензии не имеете право.

Гражданин выше считает
http://personal-data.livejournal.com/332808.html?thread=1198088#t1198088
Я вам привел официальное мнение регулятора, который, собственно, и выдает лицензии на ТЗКИ. Другого мнения я не знаю, и для вашего случая там все достаточно понятно и однозначно: оязаны защищать ПДн - защищайте, лицензия на установку СЗИ не вам не требуется.


(Anonymous)
May. 14th, 2013 07:25 am (UTC)
ZZubra
Моя точка зрения не противоречит разъяснению )))) Лукацкий, когда мы обсуждали это, кажись на банкире, говорил, что на словах мнение авторов документа было такое какого придерживается Лукацкий (и на которое ссылаются выше) - и мне ему не верить оснований нет.
Но! Еще раз оговорюсь - в суд даже областного городка авторов документа для разъяснений не позовешь, а по букве закона - это разъяснение во первых МОЖЕТ (надо проверять, как с четверокнижьем) оказаться нелигитимным, а во вторых если отслеживать все формулировки по ГК никаких послаблений ни для кого не дает. Просто иными словами излагает законодательную норму.

Все что тут пишу мое личное мнение.
serge_ivanov
May. 14th, 2013 07:29 am (UTC)
Re: ZZubra
Будем смотреть тогда по результатам проверок. Вдруг где Роскомнадзор выпишет предписание - что правильно, а что нет.
(Anonymous)
May. 14th, 2013 07:50 am (UTC)
ZZubra
Не надейтесь ))))))) Не выпишут, а то что выпишут - в другой ситуации, даже у тех же проверяющих - будет трактоваться иначе. Энтропия...
( 18 comments — Leave a comment )

Profile

personal_data
Персональные данные. Правоприменение

Latest Month

May 2019
S M T W T F S
   1234
567891011
12131415161718
19202122232425
262728293031 

Tags

Page Summary

Powered by LiveJournal.com
Designed by Lilia Ahner