Автор: Евгений | 67720 | 21.12.2016 13:48 |
Алексей | 67717
Ваша организация и создаваемое учреждение одно юридическое лицо? Если нет, то лицензии обязательны. По поводу лицензии ФСБ, работа с ГТ и/или с шифровальным оборудованием планируется? Если да, то лицензии обязательны. Конечно можете оказывать услуги без лицензий можете, но до первой проверки контролирующими органами. |
Автор: Алексей | 67730 | 21.12.2016 14:24 |
Всем спасибо работа с ГТ не планируется, шифрование скорее всего будет. А если будет следующая структура: на баланс данного МКУ передаются все ГИС, ИСПДн (далее - ИС) так же возможна передача всего компьютерного оборудования. МКУ назначается в данных системах оператором, все остальные учреждения по отнощению к данному МКУ являются пользователями данных ИС. Получается МКУ защищает информацию только в своих ИС. Для остальным организаций (пользователей) МКУ выдвигает требования к защите информации в данных ИС и распространяет на них аттестат с подписанием акта.
|
Автор: Алексей | 67731 | 21.12.2016 14:27 |
Юридические лица разные
|
Автор: Бухгалтер | 67732 | 21.12.2016 15:48 |
Если есть договор, в котором есть слова про обеспечение безопасности информации заказчика, то лицензия у исполнителя должна быть.
|
Автор: Алексей | 67733 | 21.12.2016 16:12 |
Договоров не будет,максимум соглашения в которых будет распределена ответственность и указаны обязанности.
|
Автор: oko | 67739 | 21.12.2016 17:50 |
to Алексей
Вот и ответ. Если МКУ предполагает выдавать "Аттестаты соответствия", то ему (им) нужна лицензия на ТЗКИ по линии ФСТЭК. Если планирует заниматься проектированием и внедрением средств криптозащиты (шифрования), то попутно и лицензия ФСБ. Если же только пусконаладка и разработка орг-распор документов с выдачей заключений и/или рекомендаций по обеспечению безопасности (читай, подготовка к аттестационным испытаниям) то лицензия ФСТЭК не обязательна. С ФСБ несколько сложнее, ибо криптуха у нас едина и неделима... :) |
Автор: Алексей | 67759 | 22.12.2016 08:29 |
to oko
Так не хочется с этими лицензиями дело иметь). Мы планируем аттестовать ГИС силами лицензиатов (с условием дальнейшего распространения аттестата на типовые сегменты расположенные в сторонних организациях), распространяться аттестат будет на ИСПДн в которых мы будем являться оператором (при условии соблюдением пользователями требований указанных в аттестате), установку и настройку средств защиты тоже будут производить лицензиаты или сторонние организации своими силами. Получается мы будем защищать ИСПДн, ГИСы, выдвигать требования, давать рекомендации по защите,заключать соглашения по Иб..... только в отношении систем в которых мы операторы,балансодержатели,заказчики....если будут задачи по криптографии будем стараться их тоже решать силами лицензиатов. |
Автор: WORM, MK | 67768 | 22.12.2016 13:45 |
Если будете привлекать лицензиатов со стороны - тогда вам лицензии не требуются.
|
Автор: Евгений | 69353 | 03.03.2017 13:33 |
Приветствую, коллеги! Так получилось, что мне поставили задачу обеспечить организацию лицензиями ТЗКИ (ФСТЭК, подпункты б и е) и минимальной криптографией (ФСБ) (без гостайны) к следующему году. Честно говоря, даже не знаю с какой стороны подходить :) Постановления о лицензировании и общий список документов на подачу заявления есть, но дальше возникают вопросы конкретики:
1. нужно два обученных человека, минимум по 100 часов обучения, есть ли какой-то курс, который подходит для обоих лицензий или придётся несколько курсов оплачивать? 2. аттестат на помещения - на какое конкретно помещение делать сертификат, где сидят люди или серверную, например, аттестовать - насколько это имеет значение? 3. где можно взять список конкретного оборудования, которое надо иметь? 4. какую внутреннюю нормативку для организации нужно сделать, может где-то есть какие-то образцы, подскажите, плз? как я понимаю, это и будет системой производственного контроля или нет? 5. где можно взять какой-то минимальный набор ( из постановления о лицензировании) список технической документации, национальных стандартов и методических документов? |
Автор: Евгений | 69359 | 03.03.2017 15:40 |
Евгений | 69353
"1. нужно два обученных человека, минимум по 100 часов обучения, есть ли какой-то курс, который подходит для обоих лицензий или придётся несколько курсов оплачивать?" Во-первых курсы по 100 часов не проканают, открываем ПП РФ 79 с изменениями от 15.06.2016, если сотрудник не имеет профильного образования в области ИБ, то нужна переподготовка по ИБ не менее 360 часов. Во-вторых ПП РФ 313 тоже самое, если нет профильного образования, то переподготовка 1000, 500, 100 часов в зависимости от вида выполняемых работ. "2. аттестат на помещения - на какое конкретно помещение делать сертификат, где сидят люди или серверную, например, аттестовать - насколько это имеет значение?" В том помещении где Вы будете общаться на конфиденциальные темы. "3. где можно взять список конкретного оборудования, которое надо иметь? 4. какую внутреннюю нормативку для организации нужно сделать, может где-то есть какие-то образцы, подскажите, плз? как я понимаю, это и будет системой производственного контроля или нет? 5. где можно взять какой-то минимальный набор ( из постановления о лицензировании) список технической документации, национальных стандартов и методических документов?" Официальный сайт ФСТЭК России раздел "Лицензирование"->"Техническая защита информации", там все перечни есть. |
Просмотров темы: 30814