18 октября, четверг 04:04
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Лицензия ФСБ на СКЗИ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Лицензия ФСБ на СКЗИ

    Возникла необходимость получить лицензию ФСБ на тех. обслуживание,распространение сертифицированных СКЗИ и предоставление услуг в области шифрования данных.
    При обращении в территориальный орган ФСБ - отправляют читать постановление 957, ничего не разъясняя. Несколько раз прочитал это постановление, вода-водой, где конкретно требования?
    т.е. к чему готовиться?какие конкретно документы им нужны кроме тех что указаны в постановлении, какие требования к помещению и нужна ли аттестация помещения и объектов СВТ?
    Если ктото получал данные лицензии помогите пожалуйста.

  • #2
    Будучи на проверках в разных организациях видел, помещения, в которых стоит шифроаппаратура были как минимум режимными (т.е. с определенным порядком допуска в них), а максимум - выделенными (т.е. аттестованными по требованиям ОБИ).
    кстати, вот цитата из постановления 957:
    д) применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации;

    Комментарий


    • #3
      где конкретно требования
      Берёте постановление. Находите положение о лицензировании предоставления услуг. Читатете, привлекая юриста, раз самостоятельно не пошло. Особенно внимательно - пункты 2, 4 и 5.
      Собственно, в п.4 есть лицензионные требования, одно из которых Вам процитировали только что.
      Некоторые существенные частности (про режим помещения, например и соблюдение инструкций к СКЗИ, в которых указан оный режим) Вам растолкует (за Ваши деньги, разумеется) аттестатор, аккредитацию аттестаторов осуществляет ФСТЭК, на сайте есть список, звоните и договариваетесь. Единственное - Вам нужна только аттестация средств обработки информации, в составе которых функционируют СКЗИ. Не надо аттестовать всю информационную систему, для получения лицензий ФСБ это не нужно.
      /kiv

      Комментарий


      • #4
        Кроме аттестовааного помещения, надо чтоб в помещении были технические средтва защиты помещения: решекти, сигнализация, необхзодимо взять приказ ФАПСИ по работе с криптографией (тут где-то обсуждался) и разработать на его основе полоежние свое, журналы (там оразцы есть)

        Комментарий


        • #5
          А самое главное - установить неформальный контакт с человеком внутри конторы. Процесс пойдет намного быстрее.

          Комментарий


          • #6
            Илюха, а нужна ли аттестация?! на основании какого нормативного документа она ДОЛЖНА быть? *терзают жуткие сомнения*
            virus , а приказ ФАПСИ ,мне кажется,распространяется только на ФАПСИ (т.е внутриведомственное) или я не прав?

            Комментарий


            • #7
              mi74
              а приказ ФАПСИ ,мне кажется,распространяется только на ФАПСИ (т.е внутриведомственное) или я не прав?
              ФАПСИ уже давно влилось в ФСБ. это во-первых.
              во-вторых, приказ ФАПСИ утверждает "Инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"
              Данная Инструкция определяет единый на территории Российской Федерации порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

              нужна ли аттестация?!
              в общем случае нужна.
              однако в п.1 "Положения о лицензировании деятельности по распространению шифровальных (криптографических) средств" (также как и в Положений по тех. обслуживанию и оказанию услуг)сказано, на какую деятельность оно не распространяется.
              От этого следует плясать.

              на основании какого нормативного документа она ДОЛЖНА быть?
              ПП 957 ("Положение о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами"), п.4, пп. д) (цитата ниже)
              Последний раз редактировалось Kutyrs; 22.07.2008, 13:46.

              Комментарий


              • #8
                Сообщение от Kutyrs Посмотреть сообщение
                mi74
                а приказ ФАПСИ ,мне кажется,распространяется только на ФАПСИ (т.е внутриведомственное) или я не прав?
                ФАПСИ уже давно влилось в ФСБ. это во-первых.
                во-вторых, приказ ФАПСИ утверждает "Инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"
                Данная Инструкция определяет единый на территории Российской Федерации порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

                нужна ли аттестация?!
                в общем случае нужна.
                однако в п.1 "Положения о лицензировании деятельности по распространению шифровальных (криптографических) средств" (также как и в Положений по тех. обслуживанию и оказанию услуг)сказано, на какую деятельность оно не распространяется.
                От этого следует плясать.

                на основании какого нормативного документа она ДОЛЖНА быть?
                ПП 957 ("Положение о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами"), п.4, пп. д) (цитата ниже)
                ФАПСИ влилось в ФСБ это что то новенькое
                ...Служба спецсвязи ФСО была создана в результате реформ 11 марта 2003 года. на базе Федерального агентства правительственной связи и информации (ФАПСИ) вначале как Служба спецсвязи при ФСО. От ФАПСИ в ее состав вошли все главки ФАПСИ, кроме двух - ГУБС и ГУРРСС, которые были переданы в ФСБ....

                Взято вот отсюда
                http://www.agentura.ru/dossier/russia/fso/specvyaz/

                Комментарий


                • #9
                  Василий_Николаевич
                  безусловно, я немного ошибся. спасибо, что поправили.
                  Суть в том, что управления ФАПСИ, отвечающие за криптографию, вошли в ФСБ.

                  Комментарий


                  • #10
                    Сообщение от mi74 Посмотреть сообщение
                    Илюха, а нужна ли аттестация?! на основании какого нормативного документа она ДОЛЖНА быть? *терзают жуткие сомнения*
                    [усталым голосом]Йошкин кот. В смысле - ну сколько можно. Открываете постановление 957. Пролистываете до услуг в области шифрования. Пролистываете до пункта 4 "лицензионные требования". Читаете, подпункт "д" - в частности. Потом пункт 5.

                    Вот у меня прямо перед глазами лежит выписка из акта проверки, дословно: "Провести мероприятия по аттестованию в соответствии с СТР-К средств обработки информации, в составе которых осуществляется штатное функционирование СКЗИ... Документы, подтверждающие выполнение, предоставить в центр ЛСЗ в срок до ...".

                    Да, раньше (в 2003 году) было без аттестования. Сами лицензиаторы проверяли решётку на окне, захлопывающийся замок на двери, сертификат на сейф, приказы на допуск в помещение и на режим сдачи ключей etc. Теперь, видимо, сгрузили это дело на аттестаторов.
                    /kiv

                    Комментарий


                    • #11
                      Да, получал лицензию до 957 поставновления - было простою Получал после него - тоже просто, так как у меня было аттестованное помещение. Реально покажите свое разработанное положение, ыормы журналов их этого же приказал, решетки, сигнализацию (любое тех. средство защиты помещения), аттестаты соответсвия АС, а также ответите на вопросник который они дают (в нашем случае давали).и все..процелуа пролверки заняла 10 минут.

                      Комментарий


                      • #12
                        Позвонил фирме-лицензиату проконсультировался по этому вопросу, сказали что в общем случае аттестация не нужна. Запутался еще больше нужно проводить аттестацию, либо просто обеспечить помещение в соответствии с требованиями (контроль доступа, решетки,сигнализации и т.п.) =(
                        ???????

                        Комментарий


                        • #13
                          Сообщение от den_ya Посмотреть сообщение
                          Позвонил фирме-лицензиату проконсультировался по этому вопросу, сказали что в общем случае аттестация не нужна. Запутался еще больше нужно проводить аттестацию, либо просто обеспечить помещение в соответствии с требованиями (контроль доступа, решетки,сигнализации и т.п.) =(
                          ???????
                          не надо путаться....открывает 957 постановление и читаете. ПО-моему там однозначно

                          Комментарий


                          • #14
                            den_ya
                            Позвонил фирме-лицензиату проконсультировался по этому вопросу, сказали что в общем случае аттестация не нужна. Запутался еще больше нужно проводить аттестацию, либо просто обеспечить помещение в соответствии с требованиями (контроль доступа, решетки,сигнализации и т.п.)

                            Давайте разделять два вещи:
                            Помещение, в котором стоит СКЗИ должно быть режимным (т.е. с определенным порядком доступа, решетками и т.д.)
                            А средства обработки информации (проще говоря тот АРМ, на котором стоит само СКЗИ) - д.б. аттестованы по требованиям безопасности информации. имхо так.

                            Комментарий


                            • #15
                              Сообщение от Василий_Николаевич Посмотреть сообщение
                              кроме двух - ГУБС и ГУРРСС, которые были переданы в ФСБ....
                              Мне как-то казалось, что 3ГУ в СВР передали...

                              Комментарий


                              • #16
                                клиент банка, который использует систему(клиент-банк) со встроенной системой криптозащиты, должен ли иметь лицензию на использование? со всеми вытекающми последствиями.. (сотрудник, атестация.. и т.д) *подумалось*

                                Комментарий


                                • #17
                                  Деятельность по использованию СКЗИ не лицензируется.

                                  Комментарий


                                  • #18
                                    mi74
                                    думаю, нет, т.к. он типа "на обслуживании" у банка, т.е. сам криптошлюз и систему "клиент-банк" не настраивает.

                                    Комментарий


                                    • #19
                                      den_ya, все еще проще (на собственном опыте) - лицензируетесь без аттестации, а уж лицензиаты вам сами напишут - надо аттестацию проводить или нет. Нам написали - дообучать сотрудников, провести аттестацию. Но лицензию выдали сразу, на исправление "ошибок" дали время.
                                      Чем больше связей, тем меньше степеней свободы.

                                      Комментарий


                                      • #20
                                        VSB
                                        Мне как-то казалось, что 3ГУ в СВР передали...
                                        Бывшее 3ГУ ФАПСИ отошло в состав ФСБ под именем "16 Центр" (и, емнип, посейчас так и числится), а бывшее 2ГУ теперича именуется "8 Центр"
                                        Всё в наших руках...(с)

                                        Комментарий


                                        • #21
                                          а шрифт такой мелкий чтоб не заметили?

                                          Комментарий


                                          • #22
                                            VSB
                                            а шрифт такой мелкий чтоб не заметили?
                                            Типа того (на самом деле я таким образом стараюсь обозначать совсем уж явный оффтоп)...
                                            Всё в наших руках...(с)

                                            Комментарий


                                            • #23
                                              Не понимаю зачем нужна эта лицензия и что она даёт. Если деятельность по использованию СКЗИ НЕ лицензируется... Банк ведь не собирается занимаься распространением и обслуживанием СКЗИ. Не его ведь это дело...

                                              Комментарий


                                              • #24
                                                AlexIB, ну, если не собирается, тогда конечно...
                                                Чем больше связей, тем меньше степеней свободы.

                                                Комментарий


                                                • #25
                                                  Сообщение от AlexIB Посмотреть сообщение
                                                  Не понимаю зачем нужна эта лицензия и что она даёт. Если деятельность по использованию СКЗИ НЕ лицензируется... Банк ведь не собирается занимаься распространением и обслуживанием СКЗИ. Не его ведь это дело...
                                                  Если вы даете клиентам своим утсаналивтаь СЗКИ - это распостранение, если у вас есть в прайсе "установка банк-клиента на месте заказчика" - это тех. обслуживание. Генерируете закрытые-открытые ключи для клиентов - услуги в области криптографии.

                                                  Комментарий


                                                  • #26
                                                    "установка банк-клиента на месте заказчика"

                                                    Т.е. без лицензии это делать нельзя?

                                                    Комментарий


                                                    • #27
                                                      Сообщение от AlexIB Посмотреть сообщение
                                                      Не понимаю зачем нужна эта лицензия и что она даёт. Если деятельность по использованию СКЗИ НЕ лицензируется... Банк ведь не собирается занимаься распространением и обслуживанием СКЗИ. Не его ведь это дело...
                                                      Если вы даете клиентам своим утсаналивтаь СЗКИ - это распостранение, если у вас есть в прайсе "установка банк-клиента на месте заказчика" - это тех. обслуживание. Генерируете закрытые-открытые ключи для клиентов - услуги в области криптографии.

                                                      Комментарий


                                                      • #28
                                                        Автор сообщения AlexIB
                                                        Не понимаю зачем нужна эта лицензия и что она даёт. Если деятельность по использованию СКЗИ НЕ лицензируется... Банк ведь не собирается занимаься распространением и обслуживанием СКЗИ. Не его ведь это дело...


                                                        Лицензия нужна, а иначе оказание услуг по клиенту-банку будет являться незаконной предпринимательской деятельностью, а это наказуемо, вплоть до конфискации и штрафов.Вроде так....

                                                        Комментарий


                                                        • #29
                                                          Не понимаю зачем нужна эта лицензия и что она даёт. Если деятельность по использованию СКЗИ НЕ лицензируется... Банк ведь не собирается занимаься распространением и обслуживанием СКЗИ.

                                                          Обслуживанием - может не заниматься, тут дело добровольное. А вот распространением среди своих клиентов, как правило, занимается именно банк. По крайней мере, мне других случаев просто не известно. Но самая обширная (из 3 упоминаемых) по требованиям лицензия - услуги в области шифрования, под которую подпадает, например, изготовление сертификата ключа ЭЦП. И я пока не видел ни одного банка, который бы заставлял клиентов покупать сертификаты у посторонних организаций.

                                                          оказание услуг по клиенту-банку

                                                          Вот это как раз - техническое обслуживание. Если по договору банк не обязался настраивать своими силами клиентбанк у клиента (такие банки есть и не так мало) - то этой лицензии можно не оформлять. Сэкономите 1300 рублей в пятилетку.

                                                          Т.е., ещё раз, про самое главное. Лицензируется - оказание каких-то услуг по договору. Предоставляет банк клиенту установочный комплект - пусть и забесплатно - получай лицензию на распространение. А вот если он в договоре обязует клиента купить комплект у изготовителя системы и счёт, акты и счёт-фактура оформляются на последнего - всё, к банку никаких претензий быть не может (у изготовителя лицензия быть должна в любом случае, иначе как же он банку передаст свой клиентбанк).
                                                          /kiv

                                                          Комментарий


                                                          • #30
                                                            Спасибо...

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X