Поддержка
Продукция
Загрузить
Главная / Поддержка / Вопросы и ответы / Общие вопросы по аттестации и лицензированию деятельности по защите информации

Вопросы и ответы

Общие вопросы по аттестации и лицензированию деятельности по защите информации

 Нужна ли оператору ПДн лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации (Лицензия ТЗКИ)?
В Информационном сообщении ФСТЭК России от 30 мая 2012 г. № 240/22/2222 "По вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации" допускает возможность работы без лицензии на ТЗКИ, если деятельность организации не направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации. То есть, Лицензия ТЗКИ оператору ПДн не обязательна, если работы проводятся в рамках внутренней деятельности организации для защиты ПДн, оператором которых она является.
 Кто осуществляет оценку эффективности реализованных мер защиты?
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК РОССИИ от 15 июля 2013 г. N 240/22/2637 В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных. В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены. Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных. Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения". В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний".
 Кто имеет право на инсталляцию и настройку сертифицированного ПО?
Процесс инсталляции сертифицированного ПО ничем не отличается от процесса инсталляции лицензионного ПО, и может осуществляться специалистами организации-заказчика или любой другой организацией, являющейся лицензиатом ФСТЭК России. После инсталляции сертифицированное ПО должно быть настроено в соответствии с эксплуатационной документацией (Руководством по безопасности, руководством администратора и т.д.).
 Какие СЗИ применяются для защиты ГИС и ИСПДн?
Состав СЗИ определяется классом (уровнем) защищенности ИС и моделью угроз для конкретной системы. Рекомендации по составу СЗИ, поставляемых компанией АЛТЭКС-СОФТ, для реализации мер защиты ГИС и ИСПД приведены http://www.altx-soft.ru/files/v4.pdf
 Организация не является лицензиатом ФСТЭК и ФСБ России, имеем ли мы право заниматься поставкой средств защиты конфиденциальной информации и персональных данных?
Федеральный закон № 99 от 4 мая 2011 г. "О лицензировании отдельных видов деятельности" определяет, что лицензированию подлежит только деятельность по распространению шифровальных (криптографических) средств, предназначенных для защиты конфиденциальной информации, а также специальные технические средства, предназначенные для негласного получения информации (данный Закон не распространяется на деятельность по защите государственной тайны). Таким образом, лицензия на реализацию средств защиты конфиденциальной информации, включая и персональные данные, не требуется.
 В каких случаях требуется аттестация по требованиям безопасности систем защиты ИСПДн?
В соответствии с п. 12 в) "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Постановление Правительства РФ 2007 г. № 781) оператору достаточно обеспечить "проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации" и проведение аттестации его ИСПДн не требуется. Вместе с тем, Указом Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера") персональные данные (кроме общедоступных и обезличенных) отнесены к сведениям конфиденциального характера. Порядок защиты конфиденциальной информации регламентируется "Специальными требованиями и рекомендации по технической защите конфиденциальной информации (СТР-К)". В п. 2.17 СТР-К указано "Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации". Однако требования СТР-К являются обязательными только для защиты государственных информационных ресурсов. Отсюда можно сделать вывод, что обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных. В остальных случаях она носит добровольный (необязательный характер). Вместе с тем, необходимо учесть, что в соответствии с п. 3 "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных": "Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора". Так как для коммерческих структур аттестация становится не обязательной, то в этом случае вся ответственность за точное исполнение всех организационно-технических требований по защите персональных данных лежит на операторе ПДн. И в случае выявленных несоответствий в ходе государственного контроля и надзора, именно он несет за это ответственность. Если же оператор проходит процедуру оценки соответствия установленным требованиям с привлечением Лицензиатов ФСТЭК и (или) ФСБ России (по результатам которых оформляется аттестат соответствия или заключение), то, как правило, в этом случае он получает уверенность, что все меры выполнены, а в случае выявленных нарушений третье лицо разделяет риски с оператором ПДн.
 Организация не является лицензиатом ФСТЭК и ФСБ России, имеем ли мы право заниматься поставкой средств защиты конфиденциальной информации и персональных данных?
Указом Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера" персональные данные (кроме общедоступных и обезличенных) отнесены к сведениям конфиденциального характера. Для защиты конфиденциальной информации должны применяться средства защиты прошедшие обязательную сертификацию в рамках системы сертификации средств защиты информации (системы сертификации ФСБ и ФСТЭК России). Федеральный закон № 99 от 4 мая 2011 г. "О лицензировании отдельных видов деятельности" определяет, что лицензированию подлежит только деятельность по распространению шифровальных (криптографических) средств, предназначенных для защиты конфиденциальной информации, а также специальные технические средства, предназначенные для негласного получения информации (данный Закон не распространяется на деятельность по защите государственной тайны). Таким образом, можно сделать вывод, что лицензия на реализацию средств защиты конфиденциальной информации, включая и персональные данные, не требуется.
 Кто имеет право на инсталляцию и настройку сертифицированного ПО?
Процесс инсталляции сертифицированного ПО ничем не отличается от процесса инсталляции лицензионного ПО, и осуществляется специалистами организации-заказчика. После инсталляции сертифицированное ПО должно быть настроено в соответствии с Руководством по безопасной настройке и контролю сертифицированного ПО (Руководство входит в состав Media Kit, который поставляется в составе комплектов поставки сертифицированного ПО). Настройка также выполняется специалистами организации-заказчика.
© ЗАО "АЛТЭКС-СОФТ", 2008-2020
Создание и продвижение сайтов — www.alexfill.ru.
Top.Mail.Ru