16 ноября, пятница 12:37
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Зачем мы нужны не банкам

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Зачем мы нужны не банкам

    Обращаю внимание, что в настоящее время самые разные организации стараются ввести должность спеца по ИБ, с целью защиты чего-то там и персональных данных. Ввиду приказа 58, а также отмены половины чернокнижья я обратил внимание на то, что достаточное количество организаций (долеко не только интеграторы) озадачиваются получением лицензии ФСТЭК на защиту конфиденциалки. ПДн попадают как раз под конфиденциалку. Есть ПП 504, описывающее получение данной лицензии. Я в том направлении мыслю или эти факты одни с другими не связаны?

  • #2
    Сообщение от UzbekRus Посмотреть сообщение
    Обращаю внимание, что в настоящее время самые разные организации стараются ввести должность спеца по ИБ, с целью защиты чего-то там и персональных данных. Ввиду приказа 58, а также отмены половины чернокнижья я обратил внимание на то, что достаточное количество организаций (долеко не только интеграторы) озадачиваются получением лицензии ФСТЭК на защиту конфиденциалки. ПДн попадают как раз под конфиденциалку. Есть ПП 504, описывающее получение данной лицензии. Я в том направлении мыслю или эти факты одни с другими не связаны?
    Не связаны. Приказ 58 не требует получения лицензии на ТЗКИ.

    Комментарий


    • #3
      Почитал тут http://bankir.ru/news/article/5892372
      Знаю что тема не раз обсуждалась, но.
      Возник вопрос: как ФСТЭК определит наличие деятельности по ТЗКИ?
      Правильно ли я понимаю, что любая компания, где своими силами устанавливается, допустим 1 копия КриптоПро CSP и 1 копия SecretNet с целью защиты этими средствами конф. инф. обязана в соотв. 128-ФЗ получать 2 лицензии, а значит как минимум аттестовывать часть помещений (п.5-г ПП 504)

      P.S.: Кстати, откуда товарищ автор статьи взял требование наличия штата специалистов ИБ числом 2 и более?

      Комментарий


      • #4
        Сообщение от tomato Посмотреть сообщение
        P.S.: Кстати, откуда товарищ автор статьи взял требование наличия штата специалистов ИБ числом 2 и более?
        Наверное отсюда:
        ПП 504:

        "4. Лицензионными требованиями ... являются:

        а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области ..."

        Специалисты стоят во множественном числе.

        Комментарий


        • #5
          Сообщение от tomato Посмотреть сообщение
          Правильно ли я понимаю, что любая компания, где своими силами устанавливается, допустим 1 копия КриптоПро CSP и 1 копия SecretNet с целью защиты этими средствами конф. инф. обязана в соотв. 128-ФЗ получать 2 лицензии, а значит как минимум аттестовывать часть помещений (п.5-г ПП 504)
          нет

          Комментарий


          • #6
            Сообщение от nos313 Посмотреть сообщение
            Наверное отсюда:
            ПП 504:

            "4. Лицензионными требованиями ... являются:

            а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области ..."

            Специалисты стоят во множественном числе.
            Я это видел, надеялся что есть более явно прописанные требования..
            Сообщение от pushkinist Посмотреть сообщение
            нет
            Спасибо за ответ, конечно, но хотелось бы более развернутого объяснения

            Комментарий


            • #7
              Сообщение от tomato Посмотреть сообщение
              Правильно ли я понимаю, что любая компания, где своими силами устанавливается, допустим 1 копия КриптоПро CSP и 1 копия SecretNet с целью защиты этими средствами конф. инф. обязана в соотв. 128-ФЗ получать 2 лицензии, а значит как минимум аттестовывать часть помещений (п.5-г ПП 504)
              Правильно. Потому что http://lukatsky.blogspot.com/2010/07/blog-post_06.html и http://lukatsky.blogspot.com/2010/06/blog-post_30.html. Это ОФИЦИАЛЬНЫЕ мнения регуляторов.

              Комментарий


              • #8
                Сообщение от tomato Посмотреть сообщение
                Я это видел, надеялся что есть более явно прописанные требования..
                Их нет. Поэтому в регионах и возникает часто требование наличия двух специалистов для КАЖДОГО филиала банка, а не только для головной организации.

                Комментарий


                • #9
                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  Правильно. Потому что http://lukatsky.blogspot.com/2010/07/blog-post_06.html и http://lukatsky.blogspot.com/2010/06/blog-post_30.html. Это ОФИЦИАЛЬНЫЕ мнения регуляторов.
                  это просто ответы в общем виде на запросы в общем виде
                  при таком раскладе других официальных мнений и не могло быть

                  Комментарий


                  • #10
                    Статья по ссылке в комментариях блога Алексея Лукацкого (http://anvolkov.blogspot.com/2010/07/blog-post_06.html) помогла понять природу моих сомнений- законодательный смысл "деятельности" и "предпринимательской деятельности".
                    Т.к. предпринимательской деятельности по защите информации нет (неважно криптуха или тзки), то максимум что может грозить организации- административный штраф в 20000, и то, если ФСБ или ФСТЭК докажут, что такая деятельности имела место быть.
                    Т.е. стоимость предотвращения риска на порядки превышает последствия от принятия риска. А учитывая вероятность возникновения негативных событий...

                    Комментарий


                    • #11
                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Правильно. Потому что http://lukatsky.blogspot.com/2010/07/blog-post_06.html и http://lukatsky.blogspot.com/2010/06/blog-post_30.html. Это ОФИЦИАЛЬНЫЕ мнения регуляторов.
                      Прелестно. Обращу внимаение уважаемой публики, что вряд ли мы сможем найти сейчас хоть одну организацию (разве что организованную преступную), которая не имеет официально в своем распоряжении криптографических средств и не использует их в своей повседневной деятельности. Те же клиент-банки, системы передачи отчетности в налоговые и пенсионные органы, системы электронных торгов и так далее.
                      Далее - интересно почему те же лицензированные удостоверяющие центры, которые раздают юридическим лицам ключевые материалы, совершенно не интересуются при этом наличием соответствующей лицензии у своих клиентов?.. Здесь только плати за годичный ключик...

                      Комментарий


                      • #12
                        Сообщение от tomato Посмотреть сообщение
                        Т.к. предпринимательской деятельности по защите информации нет (неважно криптуха или тзки)
                        Как нет? А продажа средств защиты? В чистом виде предпринимательство.

                        Сообщение от tomato Посмотреть сообщение
                        максимум что может грозить организации- административный штраф в 20000, и то, если ФСБ или ФСТЭК докажут, что такая деятельности имела место быть.
                        Т.е. стоимость предотвращения риска на порядки превышает последствия от принятия риска. А учитывая вероятность возникновения негативных событий...
                        Да? Только вот почему тогда ФСБ инициировало около 20 уголовных дел против банков по ст.171?..

                        Комментарий


                        • #13
                          Сообщение от Евстафьев Алексей Посмотреть сообщение
                          Далее - интересно почему те же лицензированные удостоверяющие центры, которые раздают юридическим лицам ключевые материалы, совершенно не интересуются при этом наличием соответствующей лицензии у своих клиентов?.. Здесь только плати за годичный ключик...
                          Потому что ты не обязан контролировать исполнение закона своими клиентами. Это их головная боль.

                          Комментарий


                          • #14
                            Если что, я сообщение писал за себя, а не за всех...
                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                            Как нет? А продажа средств защиты? В чистом виде предпринимательство.
                            я не продаю средства защиты только покупаю.
                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                            Да? Только вот почему тогда ФСБ инициировало около 20 уголовных дел против банков по ст.171?..
                            Вероятно это связано с их клиент-банк системами.
                            Я же вообще не банкир уже некоторое время, поэтому такой головной боли не имею.

                            Комментарий


                            • #15
                              Далее - интересно почему те же лицензированные удостоверяющие центры, которые раздают юридическим лицам ключевые материалы, совершенно не интересуются при этом наличием соответствующей лицензии у своих клиентов?..
                              Потому что ты не обязан контролировать исполнение закона своими клиентами. Это их головная боль.
                              нет.
                              не интересуются просто потому что лицензия в этом случае не требуется

                              Да? Только вот почему тогда ФСБ инициировало около 20 уголовных дел против банков по ст.171?..
                              такие дела возбуждаются совсем не за разовую установку крипто про цсп, а потому что оказание услуг (дбо с эцп) и распространение скзи (дбо с эцп) являются лицензируемыми видами деятельности

                              Комментарий


                              • #16
                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                Потому что ты не обязан контролировать исполнение закона своими клиентами. Это их головная боль.
                                Для получения ключа в УЦ необходимо предстваить целый букет документов (копий). Причем заверенных руководством предприятия. Однако лицензии на право работы с СКЗИ в этом перечне не видно ни разу.

                                Комментарий


                                • #17
                                  Сообщение от tomato Посмотреть сообщение
                                  я не продаю средства защиты только покупаю.
                                  Покупать то ты их право имеешь. А вот дальше то что? Ты жти средства на солнышке валишь-сушишь? Не верю. Наверное - устанавливаешь, настраиваешь, сопровождаешь и так далее, то есть осуществляешь деятельность по технической защите конфиденциальной информации. А это - лицензируемая деятельность (см. тот же ответ "Минздраву"). Доказать в суде, что это не так - шансов нет. Так как русский язык велик и могуч, а данная формулировка перекрывает любое твое телодвижение.

                                  Но, если Минздраву договорится с регулятором достаточно просто, получить одну "генеральную" лицензию на весь Минздрав, аналогично как сделано было в Банке России - одно соглашение на весь БР, и все территориальные учреждения этой "лицензией" накрываются и все вопросы местных регуляторов автоматом переадресуются в центр, то вот остальному бизнесу... Увы, но надо получать такую лицензию персонально.

                                  Утешает только одно. Что строгость российских законов... Ну относится только к тем конторам, с которых можно клок шерсти уравать. А остальные - вобще мелко видны регулятору.

                                  Комментарий


                                  • #18
                                    Сообщение от Евстафьев Алексей Посмотреть сообщение
                                    Покупать то ты их право имеешь. А вот дальше то что? Ты жти средства на солнышке валишь-сушишь? Не верю. Наверное - устанавливаешь, настраиваешь, сопровождаешь и так далее, то есть осуществляешь деятельность по технической защите конфиденциальной информации. А это - лицензируемая деятельность (см. тот же ответ "Минздраву"). Доказать в суде, что это не так - шансов нет. Так как русский язык велик и могуч, а данная формулировка перекрывает любое твое телодвижение.

                                    Но, если Минздраву договорится с регулятором достаточно просто, получить одну "генеральную" лицензию на весь Минздрав, аналогично как сделано было в Банке России - одно соглашение на весь БР, и все территориальные учреждения этой "лицензией" накрываются и все вопросы местных регуляторов автоматом переадресуются в центр, то вот остальному бизнесу... Увы, но надо получать такую лицензию персонально.

                                    Утешает только одно. Что строгость российских законов... Ну относится только к тем конторам, с которых можно клок шерсти уравать. А остальные - вобще мелко видны регулятору.
                                    Я писал уже. Я осуществляю деятельность, это да, но не предпринимательскую. А это- адм. штраф до 20000р.

                                    Комментарий


                                    • #19
                                      Сообщение от tomato Посмотреть сообщение
                                      Вероятно это связано с их клиент-банк системами.
                                      Я же вообще не банкир уже некоторое время, поэтому такой головной боли не имею.
                                      Именно ;-) Распространяете СКЗИ по "дочкам" и клиентам? Раздаете ключи ЭЦП? Это все лицензируемый вид деятельности.

                                      Комментарий


                                      • #20
                                        Сообщение от pushkinist Посмотреть сообщение
                                        нет.
                                        не интересуются просто потому что лицензия в этом случае не требуется
                                        См.ниже.

                                        Сообщение от pushkinist Посмотреть сообщение
                                        такие дела возбуждаются совсем не за разовую установку крипто про цсп, а потому что оказание услуг (дбо с эцп) и распространение скзи (дбо с эцп) являются лицензируемыми видами деятельности
                                        Как и ТО (у меня на блоге есть письмо из ФСБ на эту тему).

                                        Комментарий


                                        • #21
                                          Сообщение от tomato Посмотреть сообщение
                                          Я писал уже. Я осуществляю деятельность, это да, но не предпринимательскую. А это- адм. штраф до 20000р.
                                          А еще нарушение правил защиты информации ;-) А это уже приостановление деятельности и конфискация ;-)

                                          И разъясни как ты отличаешь просто деятельность от предпринимательской?

                                          Комментарий


                                          • #22
                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                            Именно ;-) Распространяете СКЗИ по "дочкам" и клиентам? Раздаете ключи ЭЦП? Это все лицензируемый вид деятельности.
                                            Клиентам- нет. Дочкам- да, об этом не думал, но на баланс головы все ПК со СКЗИ повесить думаю не большая проблема. Лицензируемый- оно понятно, но уголовная ответственность только за предпринимательскую деятельность грозит, а т.к. это все делается без получения прибыли, то привлечение по УК не грозит.

                                            Комментарий


                                            • #23
                                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                                              См.ниже.
                                              Как и ТО (у меня на блоге есть письмо из ФСБ на эту тему).
                                              ваш блог я обычно читаю, письмо видел
                                              ТО не стал упоминать, ибо судили банки не за ТО, а за более очевидные вещи

                                              и вообще в проекте административного регламента фсб по ПДн в списке запрашиваемых у операторов документов лицензии на криптографию отсутствуют, что как бы символизирует.

                                              Комментарий


                                              • #24
                                                приказ фапси №152 говорит о том, что
                                                "Лица, оказывающие возмездные услуги по организации и обеспечению безопасности хранения и обработки с использованием СКЗИ конфиденциальной информации, передаваемой вне сетей конфиденциальной связи, должны иметь лицензию ФАПСИ на деятельность по предоставлению услуг в области шифрования информации."
                                                а лицензия фапси ныне есть лицензия фсб.

                                                Комментарий


                                                • #25
                                                  Сообщение от tomato Посмотреть сообщение
                                                  Клиентам- нет. Дочкам- да, об этом не думал, но на баланс головы все ПК со СКЗИ повесить думаю не большая проблема. Лицензируемый- оно понятно, но уголовная ответственность только за предпринимательскую деятельность грозит, а т.к. это все делается без получения прибыли, то привлечение по УК не грозит.
                                                  У ФСБ точка зрения иная. Они считают, что, например, оказывая услуги ДБО, вы все равно закладываете деньги за это в стоимость ДБО. Т.е. деятельность предпринимательская...

                                                  Комментарий


                                                  • #26
                                                    Сообщение от pushkinist Посмотреть сообщение
                                                    и вообще в проекте административного регламента фсб по ПДн в списке запрашиваемых у операторов документов лицензии на криптографию отсутствуют, что как бы символизирует.
                                                    Именно административного?.. Или типового, размещенного у них на сайте? Вообще надо смотреть финальный вариант, а не проект. Его мог только один департамент ваять. Та же восьмерка. А она считает, что лицензия не нужна. В отличие от ЦЛС.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                      Именно административного?.. Или типового, размещенного у них на сайте?
                                                      а, ну да, типового я имел в виду

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                        У ФСБ точка зрения иная. Они считают, что, например, оказывая услуги ДБО, вы все равно закладываете деньги за это в стоимость ДБО. Т.е. деятельность предпринимательская...
                                                        необходимость получения лицензий для дбо вроде никто под сомнение не ставит.
                                                        но банки же не только для дбо используют криптографию, а также для ркц, обмена с асв, отправки сведений в фсфм, фнс, пф и т.д.
                                                        во всех этих случаях используется самая что ни на есть криптография, но банк там выступает в роли клиента, и лицензию никто не требует.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от pushkinist Посмотреть сообщение
                                                          но банки же не только для дбо используют криптографию, а также для ркц, обмена с асв, отправки сведений в фсфм, фнс, пф и т.д.
                                                          во всех этих случаях используется самая что ни на есть криптография, но банк там выступает в роли клиента, и лицензию никто не требует.
                                                          Ну в этих случаях вам может понадобится лицензия на ТО. По крайней мере с точки зрения ФСБ. Но ситуация может меняться в зависимости от сотрудника. Т.е. опять все непрозрачно

                                                          Комментарий


                                                          • #30
                                                            Из своего опыта общения с ФСБ:

                                                            Пакет лицензий нужен в случае если вы являетесь по крайней мере владельцем системы а не ее клиентом, а также извлекаете материальную выгоду (Банк-клиент)
                                                            Получается что каждому клиенту нужна лицензия на ТО ? это неразумно, и за ее отсутствие никто судить не будет.
                                                            Никакое юр.лицо не будет получать такую лицензию являясь клиентом системы Банк-клиент, ФСБ это прекрасно понимают.

                                                            Просто у ФСБ есть мотивация всех пугать и навязывать лицензии

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X