4 марта, четверг 15:03
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Избитая тема ПП313 и переоформление

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Избитая тема ПП313 и переоформление

    Необходимо переоформить:

    - Лицензия на осуществление технического обслуживания шифровальных (криптографических) средств
    - Лицензия на осуществление распространения шифровальных (криптографических) средств
    - Лицензия на осуществление предоставления услуг в области шифрования информации

    Помогите с определением пунктов перечня выполняемых работ по ПП313, которые заменяют данные лицензии для рядового банка. Смущает отсутствие пункта по распространению... или надо "правильно" читать пункт 21- передача?

    На мой взгляд, для рядового банка необходимы и достаточны: 12,13,20,21,22,25,28.

    Поправьте, если ошибаюсь.

  • #2
    Я решил, что должны быть 7, 12, 13, 17, 21, 22, 24, 25, 27, 28

    Комментарий


    • #3
      Berckut, спасибо за ответ. А какие приборы и оборудование необходимы для пунктов 7 и 17? Почему 7 пункт необходим? Поясните, пожалуйста, Ваш список.

      Я расширил список и попытаюсь обосновать его: 12, 13, 20, 21, 22, 24, 25, 26, 28

      12, 13, 20 - платные услуги по установке, настройке, обслуживанию ДБО
      21, 22, 24 - распространяем шифровальные средства с ДБО
      25, 26 - опять же предоставляем данные каналы через ДБО
      28 - изготовляем первичные ключи

      поправьте, что не так.

      Комментарий


      • #4
        Сообщение от defendant Посмотреть сообщение
        Berckut, спасибо за ответ. А какие приборы и оборудование необходимы для пунктов 7 и 17? Почему 7 пункт необходим? Поясните, пожалуйста, Ваш список.

        Я расширил список и попытаюсь обосновать его: 12, 13, 20, 21, 22, 24, 25, 26, 28

        12, 13, 20 - платные услуги по установке, настройке, обслуживанию ДБО
        21, 22, 24 - распространяем шифровальные средства с ДБО
        25, 26 - опять же предоставляем данные каналы через ДБО
        28 - изготовляем первичные ключи

        поправьте, что не так.
        7 - Мы записываем на компашки ПО системы Банк-клиент и выдаём их клиенту. Я посчитал, что это ничто иное, как тиражирование.
        17 - Выезд к клиенту, когда у него рухнула система или надо приехать помочь установить новые сертификаты.

        P.S. Всё субъективно. Наше управление комментарии относительно того, что нам надо, даже "без протокола" подсказать отказалось.

        Комментарий


        • #5
          Сообщение от Berckut Посмотреть сообщение
          Наше управление комментарии относительно того, что нам надо, даже "без протокола" подсказать отказалось.
          Аналогично - читайте, мол, там все написано ). На оборудование какие документы предоставляли? И вообще какое оборудование: CD резак, или тестер электрический?

          Комментарий


          • #6
            Сообщение от defendant Посмотреть сообщение
            Аналогично - читайте, мол, там все написано ). На оборудование какие документы предоставляли? И вообще какое оборудование: CD резак, или тестер электрический?
            Мы ещё не подавали документы. Со вторым человеком напряг. Пока только общаемся.

            Комментарий


            • #7
              Berckut,
              У нас тоже один человек в Службе ИБ. Достаточно ли по п.21-24? Второго брать тоже напряг.

              Комментарий


              • #8
                Сообщение от kkkkk Посмотреть сообщение
                Berckut,
                У нас тоже один человек в Службе ИБ. Достаточно ли по п.21-24? Второго брать тоже напряг.
                Недостаточно. Приняли второго. Выбора нам не оставили.

                Комментарий


                • #9
                  Berckut,
                  Руководитель у нас есть. А вот если инженерно-техническому работнику пройти семинар по информационной безопасности, но не обучение в 100 часов?
                  ФСБ при получении лицензии выезжает на рабочее место соискателя?

                  Комментарий


                  • #10
                    Сообщение от kkkkk Посмотреть сообщение
                    Berckut,
                    Руководитель у нас есть. А вот если инженерно-техническому работнику пройти семинар по информационной безопасности, но не обучение в 100 часов?
                    ФСБ при получении лицензии выезжает на рабочее место соискателя?
                    только диплом гособразца. Приезжают чекисты и производят проверку того, что изложено в заявке на лицензию.

                    Комментарий


                    • #11
                      Коллеги вопрос по месту осуществления лицензируемого вида деятельности.
                      Наверняка у многих такая ситуация с системами ДБО:
                      Техническое обслуживание, предоставление услуг и распространение происходят в Центральном офисе. Также есть ряд доп. офисов, находящихся в других городах и которые осуществляют только распространение шифровальных средств, которые приходят им их Центрального офиса (по 313-ПП вид деятельности 21-24). Естественно в этих Доп. офисах специальных людей (руководителей, инженерно-технического персонала) с соответствующим образованием нет. И если указать в лицензии адреса данных Доп. офисов вполне возможен вариант что рано или поздно туда приедет проверка местного ФСБ, которая и обнаружит факт отсутствия необходимо персонала. Соответственно напрашивается вывод "не указывать данные места лицензируемого вида деятельности", но факт остаётся фактом.
                      Кто как выходит из данной ситуации?

                      Комментарий


                      • #12
                        Сообщение от CMiheev Посмотреть сообщение
                        Коллеги вопрос по месту осуществления лицензируемого вида деятельности.
                        Наверняка у многих такая ситуация с системами ДБО:
                        Техническое обслуживание, предоставление услуг и распространение происходят в Центральном офисе. Также есть ряд доп. офисов, находящихся в других городах и которые осуществляют только распространение шифровальных средств, которые приходят им их Центрального офиса (по 313-ПП вид деятельности 21-24). Естественно в этих Доп. офисах специальных людей (руководителей, инженерно-технического персонала) с соответствующим образованием нет. И если указать в лицензии адреса данных Доп. офисов вполне возможен вариант что рано или поздно туда приедет проверка местного ФСБ, которая и обнаружит факт отсутствия необходимо персонала. Соответственно напрашивается вывод "не указывать данные места лицензируемого вида деятельности", но факт остаётся фактом.
                        Кто как выходит из данной ситуации?
                        Пропишите документы так, чтобы доп. офисы выступали в качестве курьеров, которые передают пакет со СКЗИ от головы клиенту.

                        Комментарий


                        • #13
                          Курьеры не прокатывают.
                          Необходимо вводить работником филиала в состав ОКЗ головы.
                          Но если документ подписывает руководитель филиала - будет 172 УК без лицензии

                          Комментарий


                          • #14
                            Сообщение от Dmitry leviev Посмотреть сообщение
                            Курьеры не прокатывают.
                            Необходимо вводить работником филиала в состав ОКЗ головы.
                            Но если документ подписывает руководитель филиала - будет 172 УК без лицензии
                            Вы распечатали документы, положили их и СКЗИ в пакет с контролем вскрытия и передали его в доп. офис. Работник доп. офиса не вскрывая пакета передал его клиенту. Клиент вскрыл пакет, расписался в акте, акт отправили вам. Вы получили акт, поставили в нём свою подпись, первый экземпляр положили в дело, второй - вернули клиенту. Всё красиво.
                            Чтобы было ещё красивее, можете обязать работника доп. офиса поставить на акт свою визу, смысл которой сводится к: подпись и печать сверены с образцами из карточки образцов печатей и подписей.

                            Комментарий


                            • #15
                              Это Всё хорошо, но сразу вопросы
                              1. Пакет затерялся не дошёл до пользователя
                              2. Пакет дошёл в вскрытом виде
                              3. Не совпадает информация
                              Кто конкретно несёт ответственность во всех случаях?
                              И потом при оформлении\переоформлении вопрос доставки ключей будет одним из первых Вы будете рассказывать данную схему? Думаю в лицензии откажут.
                              [OFF]Красим белим, иногда защищаем[/OFF]

                              Комментарий


                              • #16
                                Сообщение от akitukitua Посмотреть сообщение
                                Это Всё хорошо, но сразу вопросы
                                1. Пакет затерялся не дошёл до пользователя
                                2. Пакет дошёл в вскрытом виде
                                3. Не совпадает информация
                                Кто конкретно несёт ответственность во всех случаях?
                                И потом при оформлении\переоформлении вопрос доставки ключей будет одним из первых Вы будете рассказывать данную схему? Думаю в лицензии откажут.
                                У вас есть другое предложение? Я предложил механизм. Да, он не без изъянов, но в совокупности с рядом организационных мер вполне жизнеспособен. Мы не можем позволить себе иметь в каждом удалённом доп. офисе по 2 специалиста. Да и заставить всех клиентов приезжать в голову тоже не вариант. Расстояния у нас не такие, как с той стороны от Урала: ближайший доп. офис - 150км, самый удалённый - 420км. И всё это в рамках одного региона. Причём это ещё не много. Если взять Красноярск...

                                P.S. Кстати, а как по вашему СКЗИ попадают от производителя к поставщику, который продаёт их вам?

                                Комментарий


                                • #17
                                  Коллеги уперся в следующий пункт 313 Постановления:
                                  б) копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации"
                                  Какие именно здесь документы необходимо предоставить?
                                  Правильно я понимаю что это документы типа: Порядок обеспечения сохранности информации ограниченного распространения, Положение о режиме сохранности сведений, составляющих коммерческую и банковскую тайну, Перечень сведений конфиденциального характера и пр.

                                  Комментарий


                                  • #18
                                    Сообщение от Berckut Посмотреть сообщение
                                    У вас есть другое предложение? Я предложил механизм. Да, он не без изъянов, но в совокупности с рядом организационных мер вполне жизнеспособен. Мы не можем позволить себе иметь в каждом удалённом доп. офисе по 2 специалиста. Да и заставить всех клиентов приезжать в голову тоже не вариант.

                                    P.S. Кстати, а как по вашему СКЗИ попадают от производителя к поставщику, который продаёт их вам?
                                    Сразу на последний вопрос: Как они попадают от производителя к поставщику не моя головная боль, сразу скажу знаю многих поставщиков, большинства попадают спецсвязью, ибо это заложено в стоимость продукта.
                                    У меня предложений минимизмрующих расходы нет (да их и не может быть)
                                    А по поводу можем или не можем позволить это вообще не разговор, когда Вы открываете доп офис, вопросы оборудования операционного зала, денежного хранилища возникают у руководства? Думаю, что нет и это само собой разумеющиеся расходы, закладывающиеся в бизнес план. Расходы на криптозащиту с теперешних пор тоже будут обязательными расходами. Другое дело, что есть ли обьективная необходимость в подобных мерах? На мой взгляд в некоторых местах они излишни, но вот подсистема рапределения ключей в криптографии святое, и менять и выхолащивать её фсб точно не будет.
                                    [OFF]Красим белим, иногда защищаем[/OFF]

                                    Комментарий


                                    • #19
                                      Сообщение от CMiheev Посмотреть сообщение
                                      Коллеги уперся в следующий пункт 313 Постановления:
                                      б) копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации"
                                      Какие именно здесь документы необходимо предоставить?
                                      Правильно я понимаю что это документы типа: Порядок обеспечения сохранности информации ограниченного распространения, Положение о режиме сохранности сведений, составляющих коммерческую и банковскую тайну, Перечень сведений конфиденциального характера и пр.
                                      Я написал пояснительную записку о мерах, принимаемых для защиты информации, приложил соответстсвующие приказы и внутренние нормативные документы, но с меня потребовали ещё и бумаги подтверждающие наличие аттестованного рабочаего места. Собственно, больше ничего кроме акта аттестации можно было и не присылать.

                                      Сообщение от akitukitua Посмотреть сообщение
                                      Сразу на последний вопрос: Как они попадают от производителя к поставщику не моя головная боль, сразу скажу знаю многих поставщиков, большинства попадают спецсвязью, ибо это заложено в стоимость продукта.
                                      У меня предложений минимизмрующих расходы нет (да их и не может быть)
                                      А по поводу можем или не можем позволить это вообще не разговор, когда Вы открываете доп офис, вопросы оборудования операционного зала, денежного хранилища возникают у руководства? Думаю, что нет и это само собой разумеющиеся расходы, закладывающиеся в бизнес план. Расходы на криптозащиту с теперешних пор тоже будут обязательными расходами. Другое дело, что есть ли обьективная необходимость в подобных мерах? На мой взгляд в некоторых местах они излишни, но вот подсистема рапределения ключей в криптографии святое, и менять и выхолащивать её фсб точно не будет.
                                      Хм. Проясним ситуацию: Вы сами генерируете ключи и передаёте их клиентам?
                                      Мы передём клиентам только пустые смарт-карты. Возможно поэтому для нас эти требования и не настолько критичны. Но, опять же, повторюсь, схема вполне рабочая при соответствующем наборе организационных мер.

                                      Комментарий


                                      • #20
                                        Сообщение от Berckut Посмотреть сообщение
                                        Хм. Проясним ситуацию: Вы сами генерируете ключи и передаёте их клиентам?
                                        Мы передём клиентам только пустые смарт-карты. Возможно поэтому для нас эти требования и не настолько критичны. Но, опять же, повторюсь, схема вполне рабочая при соответствующем наборе организационных мер.
                                        Моя организация сама, сразу поясню, у нас не банк, как таковых клиентов нет, это собственные сотрудники, но распределённость офисов очень обширная. Во время прошлого продления лицензий данный вопрос стоял во главе угла, сошлись на передачи DST (у нас випнет) по закрытому каналу, до специалистаотвечающего в офисе за ИБ с последующей установкой им же всего этого на компьютер пользователя и оформления всех необходимых бумаг.
                                        [OFF]Красим белим, иногда защищаем[/OFF]

                                        Комментарий


                                        • #21
                                          Сообщение от akitukitua Посмотреть сообщение
                                          Моя организация сама, сразу поясню, у нас не банк, как таковых клиентов нет, это собственные сотрудники.
                                          Эх, нам бы ваши проблемы... Крипта для собственных нужд - лицензия не нужна, правила распределения ключей придумываете сами без оглядки на ФСБ.
                                          В случае с филиалами банков (которые таки подпадают под лицензионные требования), пожалуй, даже крупные банки во всех филиалах не смогут держать двух специалистов, соответствующих требованиям ПП313. Остаётся только схемы придумывать или заимствовать у коллег работающие.

                                          Комментарий


                                          • #22
                                            Сообщение от Tor Посмотреть сообщение
                                            Эх, нам бы ваши проблемы... Крипта для собственных нужд - лицензия не нужна, правила распределения ключей придумываете сами без оглядки на ФСБ.
                                            Если бы, и лицензия нужна, да ещё не одна, и требования придумываю не я, а как раз чекисты (согласовывали нашу инструкцию по криптозащите), так что у меня требований и проблем больше, а финансовых возможностей меньше.
                                            [OFF]Красим белим, иногда защищаем[/OFF]

                                            Комментарий


                                            • #23
                                              Сообщение от akitukitua Посмотреть сообщение
                                              Если бы, и лицензия нужна, да ещё не одна
                                              На основании чего?
                                              Сообщение от Berckut Посмотреть сообщение
                                              Мы передём клиентам только пустые смарт-карты.
                                              Сообщение от Berckut Посмотреть сообщение
                                              но с меня потребовали ещё и бумаги подтверждающие наличие аттестованного рабочаего места. Собственно, больше ничего кроме акта аттестации можно было и не присылать.
                                              А собственно что в такой схеме то аттестовывать? Ведь ключи не генерятся ни на каком рабочем месте...

                                              Комментарий


                                              • #24
                                                Сообщение от akitukitua Посмотреть сообщение
                                                Если бы, и лицензия нужна, да ещё не одна, и требования придумываю не я, а как раз чекисты (согласовывали нашу инструкцию по криптозащите), так что у меня требований и проблем больше, а финансовых возможностей меньше.
                                                99-ФЗ, ст. 12 п. 1 п/п 1 (а также заголовок 313ПП) - криптография для собственных нужд не нужна. Можно уже сейчас подать заявление о прекращении лицензируемой деятельности (или 06.11.12, когда вступит в силу 440 Приказ ФСБ, чтоб лишних сложностей не возникло) и сберечь себе время, нервы и деньги.

                                                Комментарий


                                                • #25
                                                  Сообщение от yuyup Посмотреть сообщение
                                                  А собственно что в такой схеме то аттестовывать? Ведь ключи не генерятся ни на каком рабочем месте...
                                                  Я на всякий случай писал все возможно необходимые виды деятельности, в том числе тиражирование (запись эталонного дистрибутива на компашку и выдачу её клиенту).

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Tor Посмотреть сообщение
                                                    99-ФЗ, ст. 12 п. 1 п/п 1 (а также заголовок 313ПП) - криптография для собственных нужд не нужна. Можно уже сейчас подать заявление о прекращении лицензируемой деятельности (или 06.11.12, когда вступит в силу 440 Приказ ФСБ, чтоб лишних сложностей не возникло) и сберечь себе время, нервы и деньги.
                                                    У моей конторы особый порядок работы, я Вам описал только часть схемы, есть еще ЦРК для гос структур, для сторонних организаций, ну и прочее, так что без лицензии мне работать не грозит.
                                                    [OFF]Красим белим, иногда защищаем[/OFF]

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Tor Посмотреть сообщение
                                                      ....(а также заголовок 313ПП) - криптография для собственных нужд не нужна...
                                                      Читая 313-П, я вижу, что лицензирование не нужно, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств осуществляется для обеспечения собственных нужд. Это пункты 17-20 Перечня. Если мы используем монтаж или передачу, то лицензия все равно нужна. Или я не прав?

                                                      Комментарий


                                                      • #28
                                                        Сообщение от serg_mur Посмотреть сообщение
                                                        Если мы используем монтаж или передачу, то лицензия все равно нужна.
                                                        Монтаж СКЗИ только у себя или передача исключительно для собственных нужд, между собственными подразделениями - лицензии ФСБ не нужны. Если передача клиентам СКЗИ, монтаж у клиента, оказание им услуг при помощи криптографии - лицензия нужна.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Tor Посмотреть сообщение
                                                          Монтаж СКЗИ только у себя или передача исключительно для собственных нужд, между собственными подразделениями - лицензии ФСБ не нужны. Если передача клиентам СКЗИ, монтаж у клиента, оказание им услуг при помощи криптографии - лицензия нужна.
                                                          Где в 313-П написано, что передача осуществляется исключительно для собственных нужд и это не требует лицензирования? В п.3 Положения этого нет. Может, в каком другом документе это прописано?

                                                          Комментарий


                                                          • #30
                                                            Сообщение от serg_mur Посмотреть сообщение
                                                            Где в 313-П написано, что передача осуществляется исключительно для собственных нужд и это не требует лицензирования? В п.3 Положения этого нет. Может, в каком другом документе это прописано?
                                                            В 99-ФЗ перечислен перечень видов деятельности, для которого нужна лицензия. Передачи в этом списке нет. Так что 313ПП в этом плане не соответствует ФЗ, там речь идёт о распространении.
                                                            А вообще, просто посмотрите, может ли деятельность Вашей организации привлечь внимание регуляторов и может ли эта деятельность без лицензии повлечь какие-то последствия (например по ст. 171 УК). Но Вы же представитель банка? Если в банке есть хоть какой-то банк-клиент, использующий криптографию, то лицензию в любом случае спросят.

                                                            Комментарий

                                                            Обработка...
                                                            X