Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
|
Поимается как наличие аттестата соответсвия выданного органом по аттестации и созданной (необходимо подтвердить документально) у сосискателя лицензии системы обеспечивающей соблюдение конфиденциальности информации в ходе оказания услуг и выполнения работ. Одного аттестата недостаточно.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.07.2012(UTC)
Сообщений: 2
|
Expert написал:Поимается как наличие аттестата соответсвия выданного органом по аттестации и созданной (необходимо подтвердить документально) у сосискателя лицензии системы обеспечивающей соблюдение конфиденциальности информации в ходе оказания услуг и выполнения работ. Одного аттестата недостаточно. Извините, но все-таки хочется уточнить, окуда такая информация, где-то есть пояснения/уточнения к Постановлению №313? Если в 957 Постановлении об этом прямо шла речь, то в 313 речь о каких-то условиях. Т.е все-таки аттестация УЦ обязательна, без этого не получить лицензии ФСБ? Но на необходимость данной процедуры должен указывать какой -то нормативный документ? Отредактировано пользователем 17 июля 2012 г. 17:40:25(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
|
Ответ можно найти в Федеральном законе "Об информации, информационных технологиях и о защите информации" и постановлении Правительства № 313.
ФЗ "Об информации, информационных технологиях и о защите информации"
Статья 16. Защита информации
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
Т.е. речь идет о системе правовых (приказы по организации), организационных (политики, инструкции, регламенты, положения и т.п.) и технических мер (приобретение , установка средств защиты информации с последующей аттестацией по требованиям безопасности)
п. 7 Постановления № 313.
7. Для получения лицензии соискатель лицензии представляет (направляет) в лицензирующий орган заявление о предоставлении лицензии и документы (копии документов), указанные в пунктах 1, 3 и 4 части 3 статьи 13 Федерального закона "О лицензировании отдельных видов деятельности", а также следующие копии документов и сведения:
б) копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";
Т.е. речь идет о документах разработанных в соответствии со ст.16 ФЗ "Об информации, информационных технологиях и о защите информации".
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.11.2010(UTC)
Сообщений: 162
Откуда: НН
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 13 постах
|
Expert написал:Ответ можно найти в Федеральном законе "Об информации, информационных технологиях и о защите информации" и постановлении Правительства № 313.
ФЗ "Об информации, информационных технологиях и о защите информации"
Статья 16. Защита информации
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
Т.е. речь идет о системе правовых (приказы по организации), организационных (политики, инструкции, регламенты, положения и т.п.) и технических мер (приобретение , установка средств защиты информации с последующей аттестацией по требованиям безопасности)
п. 7 Постановления № 313.
7. Для получения лицензии соискатель лицензии представляет (направляет) в лицензирующий орган заявление о предоставлении лицензии и документы (копии документов), указанные в пунктах 1, 3 и 4 части 3 статьи 13 Федерального закона "О лицензировании отдельных видов деятельности", а также следующие копии документов и сведения:
б) копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";
Т.е. речь идет о документах разработанных в соответствии со ст.16 ФЗ "Об информации, информационных технологиях и о защите информации".
обычно всё-таки аттестат соответствия направляется, а остальные бумажки листают на выездной проверке.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
|
Если быть точным, то не НАПРАВЛЯЕТСЯ (по постановлению 957), а НАПРАВЛЯЛСЯ. Теперь действует постановление 313 (смю п.7 Б)) и направляются копии распорядительных документов.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.11.2010(UTC)
Сообщений: 162
Откуда: НН
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 13 постах
|
Expert написал:Если быть точным, то не НАПРАВЛЯЕТСЯ (по постановлению 957), а НАПРАВЛЯЛСЯ. Теперь действует постановление 313 (смю п.7 Б)) и направляются копии распорядительных документов. а каковым вы видите стандартный набор?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
|
Я вижу как минимум:
-Приказ о разграничении доступа и утверждении пакета организационных документов по этой теме;
- Политику ИБ;
Частные политики (включая частную политику применения СКЗИ);
Руководящие документы (Инструкции, положения, регламенты списки, перечни и т.п.) для работников, задействованных в лицензируемой деятельности;
- документы подтверждающие выполнение всех мероприятий определенных во всех вышеперечисленных документах.
Но учитывая, что законодательно перечень разрабатываемых документов не закреплен, а лицензирование осуществляется ТЕРРИТОРИАЛЬНЫМИ органами ФСБ, то импровизация должностных лиц неисчерпаема. Как говорит классик (Юрий Маслов): « Возможны варианты…»
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 12.07.2012(UTC) Сообщений: 221  Сказал «Спасибо»: 33 раз
Поблагодарили: 60 раз в 37 постах
|
Аттестация по 1Г пригодится только при проверках регуляторов. Вcё. Напомню, что обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров (положение по аттестации объектов информатизации по требованиям безопасности информации, 1994 года).
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.08.2012(UTC)
Сообщений: 10
Сказал(а) «Спасибо»: 1 раз
|
К вопросу о необходимости аттестации УЦ Цитата:ЖТЯИ.00050-02 90 02. КриптоПро CSP. Руководство администратора безопасности.
11.3. Требования по установке СКЗИ, общесистемного и специального ПО на ПЭВМ
1. ПЭВМ, на которых используется СКЗИ, должны быть допущены для обработки конфиденциальной информации по действующим в Российской Федерации требованиям по защите информации от утечки по техническим каналам, в том числе, по каналу связи (например, СТР-К), с учетом модели угроз в информационной системе заказчика, которым должно противостоять СКЗИ ЖТЯИ.00050-02.
Подскажите, пожалуйста, каким образом ПЭВМ "должны быть допущены"? Уж не через аттестацию ли по требованиям безопасности информации?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
|
Издается в организации приказ о начале обработки в АС (ПЭВМ) конфиденциальной информации в котром так же назначаятся лица, ответственные за эксплуатацию объекта информатизации (АС, ПЭВМ).
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
