Буквально на днях было подписано Постановление Правительства РФ №79 «О лицензировании деятельности по технической защите конфиденциальной информации» (доступно для просмотра тут). Долго все мы ждали этого документа. Я уже ранее писал свои комментарии относительно проекта этого документа. Посмотрим что же мы имеем в новом документе. Сразу оговорюсь, что многое прояснилось, но (как это обычно бывает) остается поле для трактований и злоупотреблений.
Что же теперь должно подвергаться лицензированию:
а) контроль защищенности конфиденциальной информации от утечки по техническим каналам
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации
д) проектирование в защищенном исполнении средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений;
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Лично меня в этих пунктах смущают следующие вещи:
б) контроль защищенности конфиденциальной информации...
е) установка .... средств защиты...
Под пункт е) вполне можно подвести установку антивирусных средств собственной службой ИБ. А что такое контроль защищенности ? Это использование сканеров уязвимости или аудит ИБ ?
Посмотрим на применительную практику и будем надеяться, что все же злоупотреблений со стороны регуляторов мы не увидим.
Под пункт е) вполне можно подвести установку антивирусных средств собственной службой ИБ. А что такое контроль защищенности ? Это использование сканеров уязвимости или аудит ИБ ?
Посмотрим на применительную практику и будем надеяться, что все же злоупотреблений со стороны регуляторов мы не увидим.
Facebook
Не, Александр, е) - это установка антивируса на собственный домашний комп. Не вижу оснований так не считать. И этом весь ужас. Собрался постить, увидел у Вас. Мысли по анитивирус как пример оказались полностью идентичными ;-).
ОтветитьУдалитьА если я архиватор поставлю? Будет ли это считаться установкой СЗИ? Я же паролю файлы, защищаю их. Соответственно ставлю средства защиты.
ОтветитьУдалитьКоллеги, п. 1 Положения гласит "Настоящее Положение определяет порядок лицензирования
ОтветитьУдалитьдеятельности по ТЗКИ, осуществляемой юридическими лицами и индивидуальными предпринимателями", поэтому вариант с установкой антивируса или архиватора на домашний компьютер не подпадает под действие данного Постановления. А вот в отношении рабочих компьютеров - тут да, применение на лицо.
Даже без домашнего компьютера ужасает...
ОтветитьУдалитьНикто не поделится, что "у них" считается "средством защиты информации"? В каком законе или РД искать?
Определение средства защиты информации ищите в ГОСТ Р 50922-2006 "ЗАЩИТА ИНФОРМАЦИИ. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ" (п. 2.7.2)
ОтветитьУдалитьС учётом определения терминов "защита информации" (п. 2.1.1 того же ГОСТа) и "защищаемая информация" (п. 2.5.2), средство защиты информации - это техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для предотвращения утечки информации, являющейся предметом собственности и подлежащей защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации, а также для предотвращения несанкционированных и непреднамеренных воздействий на данную информацию.
ОтветитьУдалитьесли уж давать волю фантазии, то выходит, что установка сервера в железный ящик во избежание утечки информации тоже должна лицензироваться..)
УдалитьСпасибо
УдалитьА насколько правомочно пользоваться определением из ГОСТа? Имеет ли оно какую-то юридическую силу (скажем, доказать, что это - СЗИ, а вот то - нет)
Этот комментарий был удален автором.
ОтветитьУдалитьПостановление хорошее(((
ОтветитьУдалитьУ меня возникли вопросы:
1. «конфиденциальная информация»- что это?
2. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг – а когда я это (деятельность по технической защите) должен осуществлять?
Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" четко определено:
Статья 16. Защита информации
1. ЗАЩИТА ИНФОРМАЦИИ ПРЕДСТАВЛЯЕТ СОБОЙ ПРИНЯТИЕ правовых, организационных и ТЕХНИЧЕСКИХ МЕР, направленных на :
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа,
3) реализацию права на доступ к информации.
2. ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ отношений в сфере защиты информации ОСУЩЕСТВЛЯЕТСЯ ПУТЕМ УСТАНОВЛЕНИЯ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
4. Обладатель информации, оператор информационной системы В СЛУЧАЯХ, УСТАНОВЛЕННЫХ ЗАКОНОДАТЕЛЬСТВОМ РОССИЙСКОЙ ФЕДЕРАЦИИ, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации.
ВОТ И ПОЛУЧАЕТСЯ У НАС ЗАКОНОДАТЕЛЬНО ПРАКТИЧЕСКИ НЕ УСТАНОВЛЕНЫ НИ ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ НИ ОБЯЗАНОСТЬ «ОПЕРАТОРОВ» ЭТО ДЕЛАТЬ. А РАЗ ЗАКОНОМ НЕ УСТАНОВЛЕНО ТО ЗАЧЕМ ЗАЩИЩАТЬ??? ЗАЧЕМ осуществлять деятельность по технической защите???
И о СЗИ – если в формуляре или паспорте написано СЗИ наверное это СЗИ))) А где вы видели что бы на антивирусах было написано СЗИ??? Да и сертификаты у них по НДВ, без слов СЗИ….. ПО Госту и замок на входной двери – защита от НСД – но это замок))))
попали под проверку прокуратуры. они "четко разъяснили" (по результатам их деятельности), что антивирус это СЗИ и на него необходима лицензия.
ОтветитьУдалитьизвиняюсь, для уточнения на его установку.
ОтветитьУдалить