13 ноября, вторник 07:19
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по лицензированию деятельности по ТЗКИ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Вопросы по лицензированию деятельности по ТЗКИ

    Приветствую, коллеги!
    Возник ряд вопросов в ходе подготовки к сабжу, хотелось бы услышать мнения уже имевших опыт.
    согласно положению о лицензировании:

    4. Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
    ...
    б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;
    в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;
    г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации.

    Собственно по пунктам и имеются вопросы:
    б) - верно я понимаю, что помещения аттестовать не требуется, они просто должны быть?
    в) - самый интересный пункт, не очень понятно что под ним подразумевается и для чего это необходимо. Простейшего индикатора поля оформленного в аренду на время получения лицензии будет достаточно?
    г) - тоже интересно звучит. Т.е. если в качестве АС у меня будет АРМ с установленными сертифицированными Windows и даже SecretNet'ом - то этого будет достаточно? или в любом случае придётся аттестовать рабочее место?

    Буду благодарен за любые комментарии

  • #2
    По вопросам:

    б) нужно АТТЕСТОВАННОЕ защищаемое помещение;
    в) простым индикатором поля ПЭМИН не измерить, для оказания подобных услуг нужен ряд приборов;
    г) нужна АТТЕСТОВАННАЯ АС.

    Комментарий


    • #3
      Спасибо.

      Сообщение от mimas Посмотреть сообщение
      По вопросам:


      в) простым индикатором поля ПЭМИН не измерить, для оказания подобных услуг нужен ряд приборов;

      вот тут пояснений хочется
      лицензия получается не для оказания услуг, а для себя (обработка ПДн). Соответственно ПЭМИН будет измерять аттестующая организация. В дальнейшем такой потребности не будет. Поэтому и требования к лицензиату хочется выполнить по минимуму затрат.
      Быть может есть какой-то перечень КОИ, из которого можно выбрать наиболее доступное для получения галочки по данному пункту?

      Комментарий


      • #4
        В дальнейшем такой потребности не будет.

        как же не будет??? а ежегодная контрольная проверка уполномоченным органом по аттестации?

        насколько я знаю ИСПДн нужно будет проверять сим образом 1 раз в год-или нет?

        Комментарий


        • #5
          В идеале для этого и выполнения требований должен быть договор аренды на оборудование.
          Остаётся открытый вопрос: кто готов заключить такой договор.

          Комментарий


          • #6
            Будет идеально, если кто-нибудь подскажет какое именно КИО требуется для сабжа.

            Комментарий


            • #7
              Ну скажем так коплект такого оборудования будет стоить порядка 1 млн. так что целесообразность этого для банков под вопросом.

              Комментарий


              • #8
                С оборудованием более-менее понятно, теперь встаёт вопрос необходимого ПО (не ПО для защиты, а ПО необходимое для осуществления лицензируемой деятельности).
                И насколько оно необходимо?
                ФИКС, Ревизор и т.п.? - Надо покупать или реально получить лицензию без этого?

                Комментарий


                • #9
                  Сообщение от kae Посмотреть сообщение
                  С оборудованием более-менее понятно, теперь встаёт вопрос необходимого ПО (не ПО для защиты, а ПО необходимое для осуществления лицензируемой деятельности).
                  И насколько оно необходимо?
                  ФИКС, Ревизор и т.п.? - Надо покупать или реально получить лицензию без этого?
                  Зависит от того, какие именно работы вы заявляете при получении лицензий. Деталей не помню, но по-моему эти работы указываются в заполняемых анкетах. Во всяком случае, мне однажды при получении лицензий пытались навязать эти продукты, но мне тогда на основании этой анкеты удалось убедить проверяющего, что для проведения работ нам эти продукты на фиг не сдались. В качестве ПО мы заявляли продукты из MSDN-овской подписки.

                  Однако при этом вы должны очень четко представлять, чем именно будете заниматья и почему тот или иной продукт вам не нужен.

                  Комментарий


                  • #10
                    Есть подозрение что разделение по видам работ было раньше. Сейчас даже в заявлении на получении лицензии есть одна строка "деятельность по технической защите конфиденциальной информации" и никаких подробностей.

                    По хорошему должна быть какая то градация внутри понятия "ТЗКИ".
                    А сейчас получается что подобное ПО требуется, даже если оно не требуется
                    (как, например, и оборудование по акустике в различных ее проявлениях)

                    Комментарий


                    • #11
                      В какую реальную сумму может вылиться получение лицензии ФСТЭК на деятельность по защите конфиденциальной информации ?
                      там ведь и затраты на обучение каждого сотрудника, и затраты на закупка приборов и оборудования.
                      Может кто-нибудь делал калькуляцию по данному вопросу ?

                      Комментарий


                      • #12
                        Для получения лицензии на ТЗКИ обращались в Информзащиту, общие расходы 217 000 рублей.

                        Средства защиты одного помещения и одного рабочего места: 25000
                        Проведение аттестационных испытаний:
                        Установка СЗ: 50000
                        Аттестационные испытания помещения: 62000
                        Аттестационные испытания рабочего места: 80000

                        Могу кинуть Контакты в Информзащите в личку (лучше самому подъехать к ним и пообщаться).

                        Комментарий

                        Пользователи, просматривающие эту тему

                        Свернуть

                        Присутствует 1. Участников: 0, гостей: 1.

                        Обработка...
                        X