Получение лицензии ФСТЭК на осуществление мероприятий и оказание услуг по технической защите конфиденциальной информации - Форум по вопросам информационной безопасности

Адрес документа: http://lib.itsec.ru/forum.php?sub=4865&from=0

К списку тем | Что обсуждаем... | Добавить сообщение


Автор: Маруся, ООО "СИТ" | 20358 22.06.2010 14:49
Здравствуйте!
Подскажите, пожалуйста,что необходимо для получения лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на осуществление мероприятий и оказание услуг по технической защите конфиденциальной информации?
Как и в какие сроки происходит данная процедура?

Автор: Гость | 20359 22.06.2010 15:51
Позвоните в свой ФСТЭК, они Вам все расскажут, зайдите на сайт ФСТЭКа посмотрите раздел документы

Автор: Timon | 20361 22.06.2010 20:10
Уважаемая Маруся, месяц-несколько.
вариант 1) Вам потребуется некоторая сумма и местный интегратор на эту сумму, который сделает все, что нужно. Требования к интегратору ищите в вышеприведенном сообщении Гостя.
вариант2) Требования ищите в вышеприведенном сообщении Гостя, и реализуйте требования самостоятельно.

ЗЫ: обычно интеграторы даже список необходимых документов для встречи комиссии по лицензированию продают.
Если Вам тут предложат решить этот вопрос на халяву, то бизнес данных контор можно рассматривать как не компетентный, или благотвортельный.
Если плохо с инновациями и деньгами, то старайтесь сэкономить в конкурсе при выборе конторы. Если хорошо - экономьте на подобных консультациях и поисках в инете, осознавая, что нужно, а что нет!

Автор: Прохожий | 20373 23.06.2010 12:54
Для оживляжа.
Прошу поделиться - кто знает о фактах получения названных лицензий органами ЖКХ и ТСЖ в частности.
Кто знает о способах влияния на ситуацию в случае возникновения фальшивого ТСЖ - созданного для срубания дельты.
В реестре РСОК - ТСЖ вообще нет.
Реестр ПУМД недоступен
Единый Реестр управления многоквартирными домами города Москвы (ЕРУ) - не работоспособен но в и-нете есть в виде пустографки.
А Вы уверены что ваш дом уже не окучен мошенниками? (как проверить и разрулить ситуацию - прокуратура не учитывается из-за ее активного .... !)

Прошла пара месяцев

Автор: Другой гость | 21073 05.08.2010 15:44
Таких небыло. Смотри реестр ФСТЭК.
Марусе - воспользуйтесь второй частью совета Гостя :) И пока не изучите документы и не разберетесь в них не пытайтесь звонить в отдел лицензирования - там от таких клиентов звереют!
И еще: с "интеграторами" поосторожнее. Многие из них занимаюся тем сто срубают бабло не понимая чем занимаются. А отдел лицензирования их знать не желает и работать будет с вами.

Прошло около недели

Автор: Nikita | 21223 13.08.2010 08:01
Распишите поэтапно и ПОДРОБНО процесс получения лицензии.

Автор: Chicago | 21225 13.08.2010 08:50
Если в защите информации можно выделить три направления:

1. Организационно-правовые меры защиты;

2. Программно-аппаратные меры - защита от НСД в АС;

3. Техническая - защита от утечек по техническим каналам (ПЭМИН, аккустика, виброаккустика).


1. Организационно-правовые меры защиты;

Это и есть аттестация организаций?
Если наша фирма хотела бы предоставлять услуги по аттестации организаций, нужно ли получать лицензию?
Хотя в любом случае лицензию мы будем получать.

В Положениио лицензировании деятельности по технической защите конфиденциальной информации говорится:

4. Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;
б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;
в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;
г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;
е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.

Например если мы хотим заниматься только аттестацией организаций, то что из этого списка нам понадобится???
Потому как соблюдение этих норм дорогое удовольствие. Почитав форумы я понял что например закупать дорогостоящее оборудование необязательно..
Распишите пожалуйста подробно что и как.

Прошла пара недель

Автор: banderloga, софт | 21410 24.08.2010 20:09
Хотим получить лицензию на ТЗКИ.
Подскажите, пожалуйста:
1. Каким образом предоставить сведения об имеющихся норм-метод документах?
2. Как заказать документы ограниченного распространения?
Заранее спасибо)

Автор: Бинтех | 21420 25.08.2010 15:54
По п. 2:
ФГУП "Рособоронстандарт"
Тамара Васильевна, отдел ДСП, 936-28-98.
Открытые документы не продают.

Автор: banderloga | 21421 25.08.2010 15:57
Спасибо)
А что по п.1- просто написать список и указать, что взяты из открытых источников?

Автор: Бинтех | 21422 25.08.2010 16:35
По открытым документам достаточно наличия в организации ИСПС типа Гарант или Консультант+.

Автор: bfnderloga | 21423 25.08.2010 16:40
В том-то и дело, что нет у нас ни Гаранта, ни Консультанта +.

Автор: Мимо проходил | 21438 26.08.2010 12:59
Умиляет Chicago... что такое орг меры не предсталяет, что из себя представляет аттестация - не знает. Но при этом хочет ей заниматься. И ведь получит лицензию наверно, и ведь кому -то впарит эту аттестацию.....

Автор: Савельев Иван Васильевич, Элитмастер | 21455 27.08.2010 00:27
Здравствуйте!
Подскажите, пожалуйста,что необходимо для получения лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на осуществление мероприятий и оказание услуг по технической защите конфиденциальной информации?
Присоединяюсь к вопросу Маруси.
И жду внятный ответ от модератора .
Конкретную ссылку на сайте на пакет документов Регламент. для сбора и подачи в комиссию .
и не надо писать идите ищите на сайте . Ходите к местному региональному представительству ФСТЭК.
Поговорите с Интегратором как тут называют Аттестационные компании.
Прошу четко изложить регламент получения документов и ссылку на пакет для подачи .
А то создалось впечатление что на форуме какие то подростки обсуждают и глумятся изгаляясь .


Автор: Елена, МИАЦ | 21459 27.08.2010 09:37
1.Составляете таблицу: №, Наименование документа, Рег. номер документа - номера пишите только для зарегистрированных входящих ДСП документов -именно ваши номера, а не те с какими вам пришлют, Дополнительные сведения -указываете ДСП ,где необходимо, либо слово собственность.
2.ТАкже необходимо заказать ДСП документы во ФСТЭКе, могу выслать образец заявки на почту.
3. Если нет Гаранта и Консультанта,просто распечатываете всех имеющиеся документы по защите,что будут у вас в перечне, и присвоить им свои номера.

Автор: Савельев Иван Васильевич, Элитмастер | 21469 27.08.2010 14:13
Спасибо за столь скорый ответ
но начнем с пункта первого
Читаете 128-ФЗ, ПП 504,смотрите перечень документов,необходимых для подачи на лицензию, конкретно пункт 5 Положения..
А где его читать
Я вас просил ссылку на пакет документов или уж в крайнем случае на приказ
С Ы Л К У !
а вы опять читайте ищите
далее
6. Не забудьте заказать документы ДСП. что это ДСП
7. Оборудование КИО должно быть куплено либо взято в аренду
термин КИО что это?
в яндексе нет расшифровки такого термина КИО
Ну и конечно про лецензиатов я уже все прочитал так как они четко отражены на сайте
о чем и написал в первом посте своего обращения
А так огромное вам спасибо человеческое .

Автор: Timon | 21485 28.08.2010 23:55
Иван Васильевич, к Вашему и моему сожалению ответ на подобный вопрос стоит несколько сотен тысяч. На это отвечают и оказывают услуги по решению вопроса различные организации. Поэтому, как Вам посоветовали - ИЩИТЕ и найдете.
ДСП - это не древесно-стружечная плита, а для служебного пользования, к сожалению, в других сокращениях не асс.
ЗЫ: Вам это зачем вообще?

Автор: Савельев Иван Васильевич, Элитмастер | 21486 29.08.2010 00:38
Спасибо уважаемый TIMON мой вопрос заключался в ссылку на пакет документов на подачу для получения лицензии ..собственно вот он сам вопрос
Я вас просил ссылку на пакет документов или уж в крайнем случае на приказ
С Ы Л К У !
И что ПЕРЕЧЕНЬ документов для подачи в ФСТЭК стоит несколько сотен тысяч ?
И регламент их оформления наверно вообще уходит в миллионы .
Так то это общедоступная информация которая должна предоставятся по первому требованию организации желающей оформить документы для этого мы и платим налоги содержа аппарат чиновников ))
А вот процесс подготовки документов действительно является платным и возмездным если конечно податель не желает самостоятельно оформлять документацию что никак не запрещено законодательством .
Дак вот я и прошу дать мне регламент оформления и ссылку на перечень документов для подачи в ФСТЭК ..

Автор: Савельев Иван Васильевич, Элитмастер | 21493 29.08.2010 15:46
Уважаемый Автор: malotavr
Первым делом я сделал то что вы советуете и уже потом начал искать на сайте и форуме ответы на вопрос . мне это посоветовал
Батюков Александр Ираклиевич у меня даже есть запись наших переговоров я спрашиваю про одно а в ответ слышу совсем другое и так минут 10 мы пытались беседовать ))
Который непосредственно является дежурным ФСТЭК по вопросу лицензирования на деятельность по тех защите конфиденциальной информации .
И я понять все еще не могу таких авторов как Mascom что закрытого в том что надо дать перечень документов для предоставления во ФСТЭК
и Их регламент
допустим" учредительные документы" перечень ."Должны быть заверены нотариально" регламент и.т. д
Что уж тут такого Грифого .
а уж ваша помощь просто умиляет вы как ребенок повторяете прошлые посты и ссылки на реестр организаций аттестованных для спец экспертиз вы прошлые посты просто не читаете или так решили что то написать что бы вас помнили
Думаю немного заигрались либо пытаясь ввести в заблуждение клиентов кто то наживается на этом информационном голоде
Конечно же спасибо автору malotavr Хоть какой то просвет в толще никчемных советов .
А надо было всего лишь ссылку перечня документов и регламент подачи их.
такое ощущение что я прошу дать мне перечень секретных разработок нанотехнологий .

Автор: malotavr | 21494 29.08.2010 16:32
> Первым делом я сделал то что вы советуете

Грешен - излишне требователен к людям. Мне показалось, что, если человек не нашел опубликованные ведомством материалы на сайте этого ведомства, значит он их не искал. Во всяком случае, до вашего вопроса я тоже не знал, где такой перечень опубликован. Просто воспользовалася гуглом.

Автор: Chechaco, Mascom | 21495 29.08.2010 19:25
Теперь и я буду знать, спасибо :-)
Тем не менее часть материалов действительно закрытые, это не я выдумал, увы. Вот только не уловил, что нужно лицензирование по "конфе", по привычке рассуждал на тему ГТ. Ну а в остальном.... Практика - критерий истины :-) Посмотрим, как сложится у гн-а Савельева реальная процедура лицензирования. Я давненько практически этим не занимался, могу и чего-то конкретного не помнить, но... Если справится сам - честь и хвала.
Чак

Автор: malotavr | 21497 29.08.2010 21:50
Чак,

я как-то упустил из виду то обстоятельство, что именно за вами "наведения тени на плетень" не наблюдалось. Можно сказать, обвинил облыжно. Прошу прощения, погорячился.

Автор: Елена, МИАЦ | 21500 30.08.2010 09:06
Савельев Иван Васильевич,постараюсь вам помочь. Ниже приведу список того,что мы сами собираемся отправить на лицензию ТЗКИ, более подробно спрашивайте ,расскажу в силу своей компетентности.
ОПИСЬ
сведений и копий документов, перечень которых определен Положением о лицензировании деятельности по технической защите конфиденциальной информации

1. Копия Устава ОРГАНИЗАЦИИ , итого на __ листах.
2. Копия Свидетельства о государственной регистрации права, итого на __ листе.
3. Копия Свидетельства о государственной регистрации юридического лица, итого на __ листе.
4. Копия Свидетельства о постановке на учёт Российской организации в налоговом органе по месту нахождения на территории Российской Федерации, итого на __ листе.
5. Справка о квалификации персонала, привлекаемого к работам по защите информации с приложениями: копии дипломом о высшем образовании, свидетельств о повышении квалификации, приказов о зачислении в штат специалистов по защите информации, выписки из приказов, итого на __ листах.
6. Копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности: программы для электронно-вычислительных машин и базы данных: лицензии, сертификаты, акты на передачу прав, товарные накладные, счета, итого на __ листах.
7. Сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации, необходимых для осуществления лицензируемой деятельности:
- Копия договора аренды контрольно-измерительного оборудования с приложениями, итого на ___ листах
- Копия заказа к договору аренды контрольно-измерительного оборудования, итого на ___ листе.
- Копия акта передачи оборудования в пользование итого на 1 листе.
- Копии документов о поверке контрольно-измерительного оборудования документов, подтверждающих право на используемые для осуществления лицензируемой деятельности, итого на __ листах.
8. Копии титульных листов ГОСТ Р 51583-2000, ГОСТ Р 51624-2000, итого на 2 листах.
9. Копии документов, подтверждающих приобретение ГОСТ Р 51583-2000, ГОСТ Р 51624-2000 в «Рособоронстандарт», итого на __ листах.
10. Копия платёжного поручения, за нормативно-методические документы от ФСТЭК России, итого на __ листе.
11. Сведения об имеющихся нормативных правовых актах, нормативно-методических документах по вопросам технической защиты информации, итого на ___ листах.
12. Копия акта классификации автоматизированной системы по требованиям безопасности информации, итого на __ листах.
13. Копия аттестата соответствия автоматизированной системы требованиям по безопасности информации, итого на ___ листах.
14. Копия перечня защищаемых ресурсов автоматизированной системы с документальным подтверждением степени конфиденциальности каждого ресурса, итого на ___ листах.
15. Копия описания технологического процесса обработки информации, циркулирующей в автоматизированной системе, итого на ___ листах.
16. Копия аттестата соответствия требованиям по безопасности информации на защищаемое помещение, итого на ___ листах.
17. Копия технического паспорта автоматизированной системы с приложениями: схемой размещения основных и вспомогательных технических средств и систем и топологической схемой с указанием информационных связей между устройствами, итого на __ листах.
18. Пояснительная записка (обоснование необходимости лицензии), итого на __ листе.
Всего на __ листах.
Сразу оговорюсь,что возможно что то больше чем нужно,ну лучше лишний раз прикрепить подтверждающие документы,чем получить лишний геморой. Готова ответить по пунктам более подробно.
КИО- контрольно-измерительное обуродование.
ДСП-для служебного пользования, заказываются документы во ФСТЭК и Рособоронстандарте,какие именно -могу написать.
ССЫЛКИ, в которой был бы полный перечень документов,которые нужны для подачи на лицензию ТЗКИ просто нет в природе. ЕСли б она была,то ни у кого и вопросов то не возникало б. Получение лицензии-словно игра в кошки мышки со ФСТЭКОМ,не хотят они привести все в порядок...одного их сайта достаточно,чтоб запутаться окончательно..и не найти того что нужно при этом...

Автор: Banderloga | 21507 30.08.2010 11:56
Спасибо, Елена.
ДСП документы заказали в Рособоронстандарте - я так понимаю, что либо там, либо во ФСТЭК, да?
Номера документов должны быть разные - для ДСП свои, для обычных - свои, так?

Может еще подскажете, где поискать открытые ГОСТы, не все нашли в Инете, может есть какой-нибудь источник?
Заранее спасибо.

Автор: Chechaco, Mascom | 21527 30.08.2010 15:03
Для malotavr :
Да нет проблем, конечно принимаются :-))
Я ж даже мысли не держал контору рекламировать, даже не поинтересовался откуда коллега. Вот в чём "глюкнул", так это (как уже писал) в том, что автоматом рассматривал случай ГТ. А там перечни обязательной к наличию документации закрытые. Я, хоть и не аттестационщик, но сколько ж шишек набил, пока начал более-менее ориентироваться. "Снова" - очень тяжело. Надеюсь, коллега справится, всё ж "конфа" по-проще...
Чак

Автор: banderloga | 21534 30.08.2010 15:45
еще раз спасибо, Елена.

Подскажите, пожалуйста, что надо писать в пояснительной записке, есть ли какой-то образец?

Автор: Елена, МИАЦ | 21538 30.08.2010 16:01
Пишу как есть - у нас конкретно. пояснительная записка-это обоснование необходимости получения лицензии. В качестве образца наша записка:
Пояснительная записка
о необходимости получения лицензии для осуществления деятельности по технической защите конфиденциальной информации

В соответствии с приказом _____ Ярославской области от __.__.2009г. № ___ в ОРГАНИЗАЦИИ создан отдел по защите информации. В Устав ОРГАНИЗАЦИИ добавлена функция по выполнению комплекса мероприятий по защите информации в учреждениях здравоохранения Ярославской области. Для осуществления деятельности по технической защите конфиденциальной информации необходимо получить лицензию. Данный вид деятельности будет включать:
- комплекс мероприятий и (или) услуг по защите конфиденциальной информации (ПДн) с ограниченным доступом, не содержащей сведений, составляющих государственную тайну от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней;
- аттестацию объектов информатизации на соответствие требованиям ФЗ №152-ФЗ «О персональных данных».
В соответствии с «Положением о лицензировании деятельности по технической защите конфиденциальной информации» (утверждено Постановлением Правительства РФ от 15 августа 2006 г. № 504) направляем пакет документов.
Ну примерно так,названия и реквизиты соотв.документов убрала иобо они тут ни к чему.

Автор: Савельев Иван Васильевич, Элитмастер | 21551 30.08.2010 19:09
Большое спасибо
Автору: Елена, МИАЦ
вот есть ведь люди которые на простые вопросы отвечают тоже спокойно и просто без всяких побочных словоизлияний.
По вопросам возникающим в ходе оформления документов буду вас тревожить если сильно не справимся с подготовкой перечня . Еще раз благодарю

Автор: Елена, МИАЦ | 21578 31.08.2010 15:43
Спасибо,всегда рада помочь,если могу подсказать. Позже администрация сайта должна выложить перечень документов НПА по защите информации, имеющихся в организации, который необходим для подачи на лицензию ТЗКИ,поскольку список большой -думаю будет немного погодя.

Автор: Елена, МИАЦ | 21591 01.09.2010 08:20
Спасибо большое администрации сайта. Думаю данный перечнь многим пригодится. Форумчане,если найдете еще какие то изменения - отпишитесь пожалуйста.

Автор: Asmodean | 21592 01.09.2010 09:31
И где мои конфетки? )
Елена, ай-ай-ай. не хорошо так делать

Автор: Елена, МИАЦ | 21595 01.09.2010 10:37
Приношу свои извинения Asmodean. Перечень готовили вместе,вместе же делаи подборку и редактирование списка НПА. Так что и тебе Asmodean, СПАСИБО ОГРОМНОЕ))

Автор: Андрей Волошин, Администрация области | 21630 02.09.2010 08:59
Простите, коллеги. Я все же не могу понять - если челу не знаком термин ДСП, о получении какой лицензии речь идет вообще?
Общее недовольство регулятором на форуме- это нормально, работа у них такая. Но все же ..
Мы ведь хотим чтобы в нашей сфере работали профессионалы или нам "шашечки" нужны (это старый анекдот):
Иван Васильевич, без обид, но лицензирование отдельных видов деятельности требует именно от Вас , как потенциального лицензиата, определенных знаний. От Вас. подчеркну. Не от сотрудника ФСТЭК (погоны они вроде сняли?), Если знаний недостаточно, и документы для служебного пользования, контрольно-измерительная аппаратура для Вас пока общий шум (совсем белый), займитесь чем-нибудь другим, или учитесь.
А форумчане молодца, я эту ссылку заботливо в избранное положил, авось и сам когда за лицензией соберусь.

Автор: Николай | 21631 02.09.2010 09:13
Андрей Волошин, речь все-таки идет о том, что огромное количество юридических лиц по сути обязали получать лицензию по ТЗКИ - собственно, они никому ничего не должны. У них вид деятельности не техническая защита конф. информации. Вся проблема как раз в этом.

А уж то, что с них стали еще под шумок требовать приобретения дорогостоящего контрольно-измерительного оборудования (которое, положа руку на сердце, практически никому не пригодится) - так это как минимум свинство, а как максимум - откровенная коррупция.
ЦБИ, со своими поделками типа ФИКСа, тоже, как я понимаю, в накладе не останутся.
Так уж оно у нас получается, что все эти требования - как раз шашечки, а не ехать.

Автор: Андрей Волошин, Администрация области | 21633 02.09.2010 09:33
Нет, Николай. не согласен. Старый как наш мир спор - надо ли получать лицензию для себя (я уверен, что Вы в понимаете о чем речь) еще не закончен.
И пользователи выбор сделали - для себя не получают. Даже лицензию ФСБ на продажу шифровальных средств не получают, хотя по букве закона многие продавцы компьютерной техники должны её получить.
Посему - это не аттестация, не декларирование - здесь бы я согласился - на фига козе баян. Уверен - данный спор идет о вполне определенном случае - о том, когда лицензию получают для оказания услуг.

Прошло около недели

Автор: Виталий, 1234 | 21860 09.09.2010 14:23
Добрый день, коллеги.
Внимательно ознакомился с данной веткой форума, т.к. сами в настоящее время получаем лицензию на ТЗКИ. Вроде все документы подготовили, но осталось одно НО.
Никак не можем заполучить (купить) ДСП ГОСТы. Направляли запросы на эти два ГОСТа в Стандартинформ. Вответ нам сказали, что не могут нам предоставить данные ГОСТы, пока мы не вышлем копию лицензии на ТЗКИ или лицензию ФСБ на осуществление работ с использованием государственной тайны, объясняя необходимость наличия данных лицензий тем, что в случае их наличия в организации есть ДСП делопроизводство. Вот, и получается какой то замкнутый круг - нет ГОСТ - не дадут лицензию, а без лицензии и ГОСТы не дают. Посоветуйте пожалуйста как быть в такой ситуации, поделитесь опытом. Спасибо заранее

Автор: Елена, МИАЦ | 21862 09.09.2010 14:38
Мы заказывали два Госта в Рособоронстандарт , совершенно без проблем. телефон (495) 936-08-08, (495) 936-28-98.Отправляете заявку,вам выставляют счет-оплачиваете и присылают затем.

Автор: msergey, ЛабТЗИ | 21871 10.09.2010 06:33
Коллеги, скажите о каких двух ГОСТах идёт речь (можно просто номера). За ранее спасибо.

Автор: msergey, ЛабТЗИ | 21873 10.09.2010 07:18
Спасибо Николай. Теперь я буду знать, что эти ГОСТы дсп'шные. Дело в том, что оба этих ГОСТа у нас в организации есть, но никаких меток "ДСП" на них нет. Куплены они были официально и давно в местной Центральной научно-технической библиотеке. Единственная пометка об "ограниченности" была поставлена сотрудницей организации маленькими буквами и в уголке, где указано сопроводительное письмо с номером ДСП. По истечении времени это письмо потерялось, а ГОСТы остались. В Интрнете эти ГОСТы лежат также без метки "ДСП". И вот только сейчас для меня было "открытие", что у них ограничение... Ещё раз спасибо.

Автор: Sergey S, penzmash | 21887 10.09.2010 14:00
Прошу прощения, если попал не в ту тему. Моя организация начала заниматься подготовкой к встрече 2011 года в плане соответствия ИСПДн требованиям ФЗ-152. Предварительно присвоен 3 класс (ИСПДн не распределенная). Дипломированных специалистов в области защиты конфидециальной информации нет. Вопрос следующий, необходимо ли иметь соответсвующую лицензию на самостоятельное проведение мероприятий по технической защите ПДн СВОИХ ИСПДн? Или же в обязательном порядке получать лицензию или воспользоваться услугами сторонних фирм, имеющих лицензии.

Автор: Андрей Волошин, Администрация области | 21888 10.09.2010 14:17
Нет, не надо получать

Автор: Sergey S, penzmash | 21889 10.09.2010 14:33
Тогда получается, что моя организация может самостоятельно проводить все организационно технические мероприятия по защите ПДн. А как же ФЗ-128:
"Статья 17. Перечень видов деятельности, на осуществление которых требуются лицензии
1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:
...
11) деятельность по технической защите конфиденциальной информации;..."

Автор: Андрей Волошин, Администрация области | 21890 10.09.2010 14:35
деятельность в данном случае - оказание услуг сторонним организациям, в Вашем случае мы можем опираться на СТР-К . Думаю коллеги с удовольствием подскажут пункт, мне же лень доставать её из сейфа.

Автор: Sergey S, penzmash | 21891 10.09.2010 14:35
или же под "деятельностью по технической защите конфиденциальной информации" здесь подразумевается оказание услуг сторонним организациям?

Автор: Андрей Волошин, Администрация области | 21892 10.09.2010 14:38
Вы предупредили мой ответ, он остался на 5 странице этого обсуждения

Автор: Sergey S, penzmash | 21893 10.09.2010 14:50
Спасибо за информацию. Просто вторая фирма (оказывающая подобные услуги), пытается убедить меня в том, что первоначальную подготовку ИСПДн должны выполнть лицензиаты

Автор: Андрей Волошин, Администрация области | 21894 10.09.2010 15:00
Сергей, простите за мой некий снобизм. Раз такое дело - полез за книжкой.
Итак, СТР-К , пункт 2.15.
Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации или отдельными специалистами, назначаемыми руководителями для проведения таких работ .
Разработка мер защиты информации МОЖЕТ осуществляться также сторонним организациями, имеющими лицензии на проведение соотвествующих работ

Автор: Николай | 21895 10.09.2010 15:07
Сергей, я бы порекомендовал уточнить этот вопрос в центральном аппарате ФСТЭК (лучше сначала по телефону, а потом официальным письмом) - потому что вопрос "Надо ли получать лицензию на ТЗКИ, если мероприятия по ЗИ проводятся для себя же" достаточно неоднозначен. В интернете можно найти много пересудов на эту тему в том числе с противоречивыми ответами представителей ФСТЭК (поэтому я и предлагаю оформить официальный запрос, чтобы потом можно было это продемонстрировать проверяющим).

P.S. Если попробуете уточнить этот вопрос в местном отделении ФСТЭК, с вероятностью 90% они скажут, что лицензия нужна.

2 Андрей - в случае ФЗ 152, СТР-К - не более, чем рекомендация.

Автор: Некто | 21897 10.09.2010 15:31
Обращаться в ЦА ФСТЭК смысла нет. Ответ будет - "надо". Адресую к сайту Минсоцздравразвития. Там висит скан письма с таким ответом. Вопрос уйдет в отдел лицензирования, а там вынуждены будут отвечать оперируя формулировками НПА. А из них, сколь ни жаль, следует этот ответ.
А вот аттестовать СОБСТВЕННЫЕ объекты информатизации можно и самим :) И ответят вам именно со ссылкой на СТР-К так же, как это сделал Андрей Волошин.

Автор: Некто | 21898 10.09.2010 15:34
Sergey S, penzmash
Однако в вашем случае лучше всего обратиться к специалистам (лицензиатам). А вот в получении лицензии на ТЗКИ необходимости нет.

Автор: Sergey S, penzmash | 21902 10.09.2010 17:18
Еще раз прошу прощения за засорение ветки (когда надо сэкономить деньги для организации приходится доставать хороших людей), а может мне стоит обратиться за разъяснениями по данным вопросам в Роскомнадзор, или лучше не думать об этом (до ФСТЭКа не могу банально дозвониться)? Посоветуйте, плз

Автор: Timon | 21908 11.09.2010 10:45
Сергей, я советую обратиться во ВСЕ органы письменно.

Автор: Vil | 21961 14.09.2010 09:43
Прошу прощения, если этот вопрос уже обсуждался, укажите где...
ФЗ-152
Статья 6. Условия обработки персональных данных
4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

"Другому лицу" нужно ли получать лицензию на ТЗКИ? По сути, он же защищает ПДн оператора?
Если договор оформлен на безвозмездной основе, без лицензий можно обойтись? А на возмездной?

Автор: Виталий, 1234 | 21969 14.09.2010 12:33
Елена, МИАЦ

Большое спасибо за информацию. Созвонились, заявку выслали, ждем счет :)

Прошло около недели

Автор: Андрей | 22120 22.09.2010 11:52
Елена, МИАЦ? не могли бы вы выслать образец заявки на получение руководящих документов ФСТЭК (ДСП)?

Автор: Елена , МИАЦ | 22138 22.09.2010 15:14
Заявку оформляете на бланке ваше организации . Вверху пишется
(ВНИМАНИЕ!!!! АДРЕС и ИМЯ кому отправлять заявку уточните во ФСТЭКе)

Руководителю Управления ФСТЭК России по ЦФО
В.М.Анженко

117342, г.Москва,
Севастопольский пр-т,56/40 стр.1
ФСТЭК России

Уважаемый Владимир Михайлович!

Прошу Вас рассмотреть возможность направить в наш адрес нормативно-методические документы ФСТЭК России. Данные документы необходимы для проведения аттестации ИСПДн и получения лицензии на деятельность по технической защите конфиденциальной информации.
Оплату гарантируем.

Приложение:
1. Наши реквизиты.
2. Перечень необходимых документов.
Всего на 1 листе.



Директор _________________________


Приложение 1
Наши реквизиты

Наименование организации ___________
Юридический адрес организации____________
Должность, Ф.И.О. руководителя организации ________
Телефон, факс ____________
Фактический адрес для отправки документов ______________
ИНН __________
КПП __________
Ф.И.О., телефон контактного лица ___________________________


Приложение 2
Перечень необходимых документов - в виде таблицы

№ п/п ---Наименование документа-----Кол-во
1.«Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации», Гостехкомиссия России, Москва, 2002
2.«Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации», Гостехкомиссия России, Москва, 2002
3.«Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам», Гостехкомиссия России, Москва, 2002
4.«Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах», Гостехкомиссия России, Москва, 2002
5.Нормативно-методический документ. «Специальные требования и рекомендации по технической защите конфиденциальной информации». Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282
6.Извещения к СТР-К
7.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.

Насчет точного имени и адреса, на кого оформляется заявка повзоните во ФСТЭК ,тел . (499) 263-30-57 по вопросам лицензирования
Затем вам должны выставить счет,оплачиваете и ждете документов.

Автор: Некто | 22145 22.09.2010 16:26
Елена!
Вы указали дежурный телефон отдела лицензирования. Там и так все время звенит не переставая.
Обращаться надо в свое региональное управление ФСТЭК. Обязанность по обеспечению документами возложена на них.

Автор: Андрей | 22148 22.09.2010 17:33
Спасибо!

Автор: Alex_kl | 22149 22.09.2010 17:52
Уважаемый Некто!

Проблема то как раз узнать адрес и ИМЯ лица, которому надо эту самую заявку направлять.

Елена потому и указала дежурный телефон этого отдела, что в нем гарантированно назавут правильные координаты. Если Вы считаете, что правильнее выяснять информацию по другому телефону - раскройте секрет. Только примите во внимание, что людям из Перьми, к примеру не поможет знание неких контактов типа в Хабаровске (ну или где там соответствующее управление по дальневосточному округу). Кстати, как раз с Перьмью я не уверен - куда людям оттуда правильнее обращаться - в Екатеринбург или еще куда? А вот в Центральном аппарате как раз должны бы знать точно - куда и с чем обращаться.

Автор: Алексей, Новые технологии | 22151 22.09.2010 18:29
Добрый день!
хотел бы задать вопрос Елене МИАЦ. наша компания планирует получить лицензии ФСТЭК, но никак не можем разобраться с документами. Подскажите ответы на следующие вопросы:
1. Где можно узнать перечень контрольно-измерительного оборудования? Сертификаты и аттестаты уже входят в комплект КиО или же их надо получать отдельно?

2. Где выдается аттестат соответствия на помещение?

3.Где выдается аттестат соответствия на автоматизированную систему?

4.Какие документы ДСП заказываются во ФСТЭК?

Автор: Некто | 22153 22.09.2010 19:51
Алексей, Новые технологии | 22151

Обучите специалиста, все равно придется. А потом задайте ему эти вопросы (или напишите их на бумаге и вручите их ему, отправляя на обучение).

Автор: Станислав | 22369 29.09.2010 18:13
В Положении о лицензировании деятельности по технической защите конфиденциальной информации говорится:

4. Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

В связи с этим вопрос, а если у кандидата в лицензиаты нет АС, обрабатывающей КИ и соответственно средств защиты для такой АС.
К примеру, кандидат собирается защищать информацию у сторонних организаций.
К примеру, холдинг, куча дочек, есть общее сервисное подразделение (отдельное юр.лицо) в задачу которого входит и обеспечение ИБ всех дочек. А вот своей АС нет, ну не нужно им, или КИ в такой АС нет.

То как быть в такой ситуации?

Автор: Игорь, Росинформзащита | 22395 30.09.2010 09:57
Попробую привести перечень измерительного оборудования:
Для выявления утечек по акустическим каналам:
Генератор шума акустического диапазона. Выходной сигнал-«белый шум» с нормальной плотностью распределения вероятности в диапазоне частот 175-5600Гц. Г2-37, «Шорох», Г2-47. Поверка не требуется
Генератор Н/Ч. Диапазон частот 175-5600Гц, амплитуда выходного сигнала не менее 5В Г3-36А, Г3-48,Г3-53… Поверка не требуется
Усилитель мощности. Диапазон частот 175-5600Гц, выходная мощность не менее 10Вт. Любой хороший акустический усилитель мощности. Поверка не требуется
Акустический излучатель. Диапазон частот 175-5600Гц, неравномерность АЧХ не более +-6дБ, уровень звукового сигнала на расстоянии 1м не менее 85дБ. Любая качественная акустическая система. Поверка не требуется
Измеритель шума и вибраций. Диапазон частот 175-5600Гц, пределы измерений 25…120дБ, класс точности не ниже второго. ВШВ-002, ВШВ-003, ВШВ-005. Требуется поверка. Должно быть внесено в гос. Реестр как тип средства измкркний.
Измерительные микрофоны. Диапазон частот 175-5600Гц, неравномерность АЧХ не более +-2дБ (обычно входит в комплект измерителя шума и вибраций). Требуется поверка.
Вибродатчики (акселорометры). Диапазон частот 175-5600Гц, чувствительность не хуже 1мВ.мс-2 (обычно входит в комплект измерителя шума и вибраций). Требуется поверка.
Полосовые актавные фильтры. Диапазон частот 175-5600Гц, соответствующие ГОСТ 17168-82 (обычно входит в комплект измерителя шума и вибраций). Требуется поверка.
Селективный нановольтметр. Диапазон частот 157-5600Гц, погрещность измерений не более 15%. Unipan-232, Unipan-233, Unipan-237. Требуется поверка. Должно быть внесено в гос. Реестр как тип средства измерений
Все это оборудование может быть заменено комплексом "Спрут"

Автор: Игорь, Росин | 22397 30.09.2010 10:06
Оброудование для выявления ПЭМИН
Селективный микровольтметр. Диапазон частот 9кГц-1ГГц, погрешность (предельная чувствительность) не хуже 1дБмкВ. Полосы пропускания 9и120кГц, детекторы пиковый и квазипиковый, погрешность калибровки не более 2дБ. Можно использовать спектроанализатор. Требуется поверка. Должно быть внесено в гос. Реестр как тип средства измерений
Комплект измерительных антенн. Магнитные антенны (диапазон частот 9кГц-30Мгц). Электрические антенны (диапазон частот 9кГ-1ГГц). АИ 5.1,
АИР 2.3.. Требуется калибровка (калибрровка производится с комплектом кабелей и штативов)
Генератор сигналов высокочастотный. Диапазон 9кГц-1ГГц. Обычно диапазон перекрывается несколькими генераторами. Поверка не требуетсяИзмерительный пробник (или токосъёмник). Диапазон частот 9кГц-300МГц. ТИ2-3
ТИ2-2. Требуется калибровка
Осциллограф. Полоса пропускания до 5МГц. . Калибровка не требуется
Все это можно заменить комплексом Навигатор или Легенда

Автор: Игорь, Росин | 22399 30.09.2010 10:20
И последнее перечень необходимых программ:
Комплект программ для создания тестовых режимов. -монитор
-клавиатура
-принтер
-LAN
ПО Анализатор уязвимостей. . Ревизор-ХР
Или НКВД2.2+НКВД2.3. Обязательно наличие защитного знака ФСТЭК и действующей (не просроченной) лицензии от изготовителя.
ПО. Программа контроля уничтожения остаточной информации на НЖМД. . «Терьер-х». Обязательно наличие защитного знака ФСТЭК и действующей (не просроченной) лицензии от изготовителя
ПО. Программа фиксации и контроля состояний програмного комплекса. . «Фикс-х». Обязательно наличие защитного знака ФСТЭК и действующей (не просроченной) лицензии от изготовителя
ПО. Анализатор уязвимостей (для сети). Например Nesus. Если необходимо произвести контроль защищённости сети. Сертифицированных ФСТЭК программ пока нет, в принципе «свободно распространяемое ПО»

Автор: Сергей | 22405 30.09.2010 12:06
Выше в постах большой список оборудования, необходимый для лицензиата ФСТЭК. В основном это оборудования по части защиты утечек по ПЭМИН и акустическим каналам.
Но во многих ИСПДн утечка по этим каналам не актуальная, т.е. фактически защита и не требуется.
В различных форумах было много обсуждений на тему, нужна ли лицензия ФСТЭК "для собственных нужд". Тем более это сейчас очень актуальный вопрос для операторов ПДн.
Правильно ли я понимаю, что для защиты ПДн в своей сети (если я не хочу приглашать стороннего лицензиата) мне все равно придется приобретать (арендовать) все это не нужное железо даже в том случае, если я предоставлю во ФСТЭК модель угроз, где ПЭМИН и акустика не актуальны.

Автор: Chechaco, Mascom | 22413 30.09.2010 19:53
Доброе время суток.
Для "Игорь"
Уж берётесь советовать, так делайте это профессионально. Или не стоит трудится...
1. Для акустических измерений выходная мощност УНЧ (и колонки, естественно) нужна не менее 30-50 Вт. Иначе чуть дверь посерьёзнее или стенка - ничего не измерите.
2. При акустических измерениях селективный вольтметр никому и никогда не был нужен. Нужен только шумомер/вибромер.
3. НЧ "селективник" нужен для АЭП. И изделие "Спрут" его никогда не заменит, поскольку не является средством измерения малых электрических напряжений (по сертификату). Заменить вольтметр Unipan может анализатор НЧ UPL (R&S) или специализированные комплексы "Гриф-АЭ-1001", "Талис-НЧ", "Талис-НЧ-Лайт", в какой-то мере "Аист". Но уж никак не "Спрут".
4. Диапазон рабочий микрофонов нужен более широкий (почитайте "Главную книгу" и/или МВТР часть 1)
5. Диапазон частот исследований по ПЭМИН переврали, увы. Тип антенн - тоже (АИР3-2, АИ-5-0), как и диапазон электрических антенн!
6. Специализированные системы контроля ПЭМИН - существуют ещё АРК Д1, "Сигурд", "Зарница". Сравнивать не буду - обвинят в пристрастности ;-)
7. Оборудования для контроля АЭП (НЧ и ВЧ) не указали вовсе.
8. Оборудования для контроля ВЧН/ВЧО не указали.
Берётесь делать (советовать) - делайте хорошо. Или не беритесь.
Чак

Автор: malotavr | 22414 30.09.2010 21:27
> Анализатор уязвимостей (для сети). Например Nesus. Если необходимо произвести контроль защищённости сети. Сертифицированных ФСТЭК программ пока нет, в принципе «свободно распространяемое ПО»

Прислоединяюсь к Chechako :)

Сертифицированные ФСТЭК средства анализа защищенности (то, что вы назвали "анализаторами уязвимостей"). Но для получения лицензии ФСТЭК они не требуются.

Автор: malotavr | 22415 30.09.2010 21:31
Ну вот, от возмущения даже строчку не дописал :)

Сертифицированные ФСТЭК средства анализа защищенности есть, и слава богу, что для получения лицензий они не нужны. А то моя работа превратилась бы в профанацию.

Автор: sekira | 22420 01.10.2010 07:14
"слава богу, что для получения лицензий они не нужны"

А от кудо такая уверенность? Недавно лицензию получали, или есть утвержденный регламент что нужно что нет при получении лицензии, или письмо из отдела лицензирования?

Скепсис про профонацию разделяю!

Автор: sekira | 22421 01.10.2010 07:17
Чак тут про конфиденциалку речь!!

Думаю ВЧО и ВЧН необязательно.
МВТР и главная книга думаю тоже нипричем :))

Автор: malotavr | 22430 01.10.2010 09:50
> А от кудо такая уверенность?

И лицензию неожнократно получал, и компания является производителем сертифицированных средств анализа защищенности. :) Наличие такого средства - безусловный плюс для соискателя лицензии, но чтобы кого-то в принудительном порядке отправили покупать сертифицированный XSpider - не припомню.



Автор: Chechaco, Mascom | 22433 01.10.2010 10:31
Для sekira:
День добрый :-)
А даже если и так, но диапазоны частот одни и те же, что в ГТ, что в "конфе". Средства измерения "по принадлежности" - тоже одинаковые. Методики разнятся, но это уже вторично. Набор средств измерения один и тот же, ну разве что ВЧН/ВЧО отпадает. И то, это сейчас ;-)
Суть в том, что редко, но случается, что здесь кто-то не дискутирует, а "изрекает истины". Ладно бы ещё правильные! А потом люди недоумевают, как же так, ведь как посоветовали, так я и сделал :-((
За свои слова надо отвечать!!!
Чак

Автор: sekira | 22447 01.10.2010 14:00
"но диапазоны частот одни и те же, что в ГТ, что в "конфе"

Разные в конфе до 1Ггц.

"За свои слова надо отвечать!!!"
Полностью согласен а желательно со ссылками или на опыт с логическим обоснованием, или на НМД (где логика иногда отсутствует :(()

"кого-то в принудительном порядке отправили покупать сертифицированный XSpider"

Нас застовляли ! правда на ГТ ((

Автор: Chechaco, Mascom | 22453 01.10.2010 15:57
Относительно рабочих диапазонов - проверю. Писал по-памяти ;-)
Если так - опять "пинок" в сторону СТР-К...
Чак

Автор: Игорь, Росинф | 22481 04.10.2010 08:00
Для Чака
Ну во - первых свой пост я начал со слова "попробую", и не в коем случае не претендую на истину в последней инстанции.
Во - вторых ни один "профессионал " так и не привел списка оборудования. Следуют сплошные отсылки к чудесным документам Фстэк, или рекомендации проконсультироваться (ес-но за деньги).
В- третих предлагаю отделить получение лицензии от проведения реальных измерений. То есть с усилителем 15 ватт я может и не проведу исследования , но лицензию получу.
Список этот я привел , чтобы можно было оценить затраты на оборудование для получения лицензии.
Комплексы приведены для примера, и их довольно много, но они дороже оборудования "вразброс".
В чем и польза форума - список сразу подправили :)

Автор: Chechaco, Mascom | 22537 05.10.2010 16:57
Возможно Вы в чём-то правы. Увы, это реально разные задачи :-((( Полная шиза, получать лицензию и ... не работать :-(((
Я-то "идеалист" (видимо, уже неисправимый!), полагаю, что технику прикупают для нормальной работы :-))) Вообще, насколько я осведомлён, если нужна зачем-то только бумажка, то предпочитают "арендовать" аппаратуру, оно куда дешевле обходится.
Я бы мог привести совершенно реальный перечень, но мне, как и менеджерам нашего подразделения поставок, для этого неизбежно нужна куча входной информации. Единого перечня быть не может. Его состав напрямую зависит от будущих задач, квалификации персонала, видов на будущее, уже имеющегося "железа" и, естественно - имеющихся денег. Любая комбинация этих параметров влечёт за собой те или иные коррекции состава оборудования. Мы так и работаем с Заказчиком. Оптимум у каждого - свой! Кстати, у нас за эту "настроечную" работу (которая требует немалых знаний и времени) денег-то и не берут...
Чак

Прошло около недели

Автор: User | 22695 14.10.2010 13:23
Для Станислав
"В связи с этим вопрос, а если у кандидата в лицензиаты нет АС, обрабатывающей КИ и соответственно средств защиты для такой АС.
К примеру, кандидат собирается защищать информацию у сторонних организаций..."

А как Вы собираетесь защищать информацию у сторонних организаций, Вы им просто расскажете что делать и как? Вы им аттестат соответствия на АС или ЗП выдавать не собираетесь, а протоколы по результатам аттестационных испытаний тоже делать не надо? А если Вы аттестовывать ничего не собираетесь, то зачем Вам лицензия?
Это я к тому что аттестат соответствия, протоколы и заключение являются документами содержащими КИ, и соответственно должны обрабатываться на соответствующих АС и обсуждаться в соответствующих помещениях.

Автор: User | 22696 14.10.2010 13:26
Почитал ветку, не понял зачем получать лицензию организациям, которые реально ТЗКИ заниматься не собираются? У нас что лицензиатов мало?

Автор: SNV | 22706 14.10.2010 16:54
Добрый день!
Положение о лицензировании деятельности по защите конфиденциальной информации содержит, на мой взгляд, не вполне корректную формулировку определения защиты конфиденциальной информации: "комплекс мероприятий и (или) услуг по защите конф. информации...".
Хочется услышать мнение, требуется лицензирование, если осуществляются только мероприятия по тех. защите, т.е. защиты требует только информация, обрабатываемая в организации, услуги по данному виду деятельности не оказываются.

Автор: User | 22707 14.10.2010 17:22
Для SNV
А какая разница кому услуги оказывать заказчику или себе? Без лицензии никак нельзя. Какие Вы себе сможете мероприятия осуществить не выполнив лицензионных требований в части касающейся оборудования или НМД, например?

Автор: js | 22771 18.10.2010 01:21
Лицензию на ТЗКИ получать не надо, если вы собираетесь нанять стороннюю организацию, с соответствующей лицензией.
Обязательность получения лицензии, по мнению некоторых "компетентных" лиц, в корне неверно. В соответствии с законодательством и тем же нормативными и методическими документами оператор ПДн, или же любых иных сведений конфиденциального характера, обязан осуществлять организационные мероприятия для выполнения защиты информации (что не подпадает под понятие "мероприятия" или "деятельность" по ТЗКИ), т.е. подать сведения об обработке ПДн, определить категорию и класс, назначить ответственного за защиту, разработать документы по безопасности информации (ключевое слово "документы" не один, а на много больше, какие именно можно понять из нормативно-правовых актов, и не только касающихся безопасности информации) и т.д. А вот по завершению всего этого создаётся план мероприятий по ТЗКИ и техническое задание, после чего можно нанимать организацию с лицензией по ТЗКИ или после аналитических расчётов, если это выгодно предприятию, получать лицензию по ТЗКИ и осуществлять деятельность по ТЗКИ для своих нужд (при желании можно предоставлять свои услуги другим предприятиям).

Прошло несколько недель

Автор: Игорь, Росинф | 23311 09.11.2010 10:36
По моему обсуждение вопроса "надо получать лицензию или нет?" не совсем тема этой ветки . Здесь информация для тех кто решил - " Хочу получить! Скажите как."

Автор: Владимир | 23525 15.11.2010 12:31
Добрый день
Подскажите, для получения сертификата на защищенное программное средство необходима лицензия на разработку ПО
Т.е. по сути лицензия на ТЗКИ не нужна
Отсюда и вопрос - если читать положения 504 и 532, а также административные регламенты 181 и 182 то - для получения лицензии на разработку в явном виде не требуется наличие аттестованных ЗП и АС, не требуется наличие КИО и др. Но уверенности, что получить лицензию на разработку ПО без аттестации ОИ у меня нет.
Скажите - есть ли у кого-нибудь опыт получения именно этой лицензии, без деятельности по ТЗКИ? С литературой более или менее понятно, с обучением специалистов, с пошлинами, учредительными документами и внутренними документами - это понятно. Что необходимо еще?

Прошла пара недель

Автор: Некто | 23935 01.12.2010 18:07
Гость | 23933
Вы это к чему?
Один документ не совпадает с оригиналом уже на первой странице. Второй был отменен лет 6 назад...
Чтобы народу, который помомощи и толкового совета ждет, мозги вскипятить?! мозги

Прошла пара месяцев

Автор: Гость | 24668 12.01.2011 08:40
А если в штате только один специалист с высшим образованием в области технической защиты информации этого будет недостаточно для получения лицензии?

Автор: Владимир | 24714 13.01.2011 06:52
Согласно Административных регламентов 181 и 182, ровно как и Положений о лицензировании отдельных видов деятельности (Постановления Правительства РФ 504 и 532)
"... наличие в штате соискателя лицензии СПЕЦИАЛИСТОВ, имеющих ..."

Как видно, про их количество ничего не сказано, но логика говорит, что больше одного, раз в формулировке не указано "специалиста(ов)"

Кроме логики еще практика компаний, которые те самые лицензии получали, ну и конечно - лучше обучить технаря неделю на курсах повышения квалификации, нежели заниматься этим вопросом, когда ФСТЭК вернет заявку на получение лицензии. Да и вероятность, что тот самый человек с высшим образованием своим уходом может подставить вас с лицензией - выше нежели с двумя сотрудниками

Автор: virus | 24716 13.01.2011 07:39
Гость, в ПП по лицензированию сказано "специалисты", потому как минимум два нужно.

Автор: Данил | 24736 13.01.2011 13:33
Помогите по вопросу.
В положении о лицензировании деятельности по технической защите конфиденциальной информации указано в п.б ст.4 ,что неоходимо "наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании"

Под этим подразумевается тестовая площадка?

Автор: :-) | 24737 13.01.2011 13:35
Нет. Под этим понимается Ваши офисные помещения. Особенно там, где расположены аттестованные АС и ЗП.

Автор: :-) | 24738 13.01.2011 13:38
Тестовая площадка для деятельности то технической защите КОНФИДЕНЦИАЛЬНОЙ информации не нужна. Она нужна только для технической защите на гостайну.

Автор: Данил | 24740 13.01.2011 13:55
Ясно, это хорошо :) , спасибо.

Прошло несколько недель

Автор: Борис | 25562 07.02.2011 10:31
Добрый день.
Не мог бы кто-либо указать хотя бы примерную стоимость заказываемых во ФСТЭК документов и ГОСТ'ов Рособоронстандарта?

Автор: sss | 25563 07.02.2011 10:33
А сколько стоит аттестация АС и ЗП для получении лицензии?

Автор: Владимир | 25578 07.02.2011 13:44
Борис, прайс-листов на эти документы в свободном доступе нет, но вообще стоимость комплекта измеряется в единицах тысяч рублей - не в десятках. Для точной стоимости - позвоните в Рособоронстандарт в отдел ДСП - я недавно дублировал координаты здесь, так же можете на их сайте глянуть. По ФСТЭК не думаю что скажут по телефону. Я не пробовал. Опять же - ценники не страшные

sss, здесь на форуме ценник на Аттестацию ОИ Вам не назовут - он определяется организацией, которая будет Вам эти услуги предоставлять. Зависит от разных факторов - состав АС, площадь ЗП, что обрабатываете на ОИ (гос. тайна или конф.) и многое-многое другое, вплоть до Вашей платежеспособности. Проще всего - обратитесь в своем регионе в организацию, уполномоченную на это - они составят Вам коммерческое предложение. От Вас по сути ничего для этого не требуется

Прошло около недели

Автор: Некто | 25867 16.02.2011 14:43
Ну что ж, коллеги, законодатель порадовал нас новой редакцией 128-ФЗ, которая введена федеральным законом от 29.12.2010.
Позволю себе ряд замечаний по этому поводу.
1. Надежды на то, что возможна будет детализация работ в рамках лицензируемого вида деятельности не оправдались. В нашем случае все остается по прежнему и, как следствие, требование о наличии КИА для контроля техканалов будет актуально для всех лицензиатов. Договора на аренду КИА придется заключать.
2. Вопрос приостановления деятельности лицензиата и аннулирования лицензии только решению суда. Для регулятора административные процедуры усложняются.
3. Не советую обольщаться по вопросу использования лицензирования в электронной форме (с. 3.1). На сколько я знаю технически наши регуляторы не готовы в полном объеме тянуть этот воз как технически, так и из за отсутствия административных процедур. Так же как и вы, уважаемые соискатели/лицензиаты :) Кто из вас готов обеспечить юридическую значимость документов, представляемых в лицензирующий орган в электронной форме? А кто знает как представить в электронной форме нотариально заверенные учредительные документы? Лицензирование в электронной форме - это хорошо. Даже я скажу ХОРОШО! Но пока не будет обеспечено полноценное и всеохватывающее юридически значимое ЭДО в процессе взаимодействия нашего государства и юрлица, ведомственные реестры и базы данных, удобные и быстрые сервисы межведомственного взаимодействия, позволяющие проверить сведения лицензионного дела, это все благие намерения на пустом месте.
4. На продление/переоформление лицензии закон отводит регулятору 10 дней. Добавим сюда электронную форму лицензирования, 3 дня на ответ на запрос, обязательную передачу заявителю описи представленных документов (в конце года ежедневно поступало до 40 лицензионных дел). Вот и прибежала к ним пушистая сибирская лисичка!
5. В принятой редакции, к сожалению, отсутствуют предлагавшиеся в проекте очень разумные предложения по порядку осуществления лицензионного контроля, продления/переоформления лицензий и др.
6. Исходя из содержания п.1 ст.2 и п.5 ст.3.1 можно и не получать "бумажную" лицензию. Достаточно будет электронного документа (гы! Вот как вы эту хрень в конкурсную документацию приложите? Кроме того лично видел подделку лицензии на ТЗКИ, представленную одной питерской строительной фирмой).
7. Не совсем ясно, как будет реализован п. 8. ст.9 и п.2 ст.3.1 ("возможности для соискателя лицензии дистанционно отслеживать стадии лицензионного дела;"). Скорее всего придется выложить внутренний электронный журнал регистрации заявок в открытый доступ. Но что такое стадии ЛД?! "Поступила", "На рассмотрении у того-то", "Передана на рассмотрение руководству", "Подписана"... Вряд ли больше.
8. Сроки внесения изменений в положения о лицензировании отдельных видов деятельности не определены. Установлено, что положения закона имеют приоритет и положения действуют в части не противоречащей новой редакции 128-ФЗ.

Итого: документ в нашей части применябелен, ставит в позу пьющего медведя отдел лицензирования ФСТЭК, создает причину шевелиться ведомствам по поводу необходимости создания юридически значимого ЭДО и реализации "лицензирования в электронной форме".

Благодарю за внимание (поклонился).

Автор: sss | 25904 17.02.2011 10:27
Возможно ли назвать ВП защищенным если в нем установлена охрано-пожарная сигнализация, стены сконструированы из евро окон на которых высят жалюзи и есть замок на двери

Автор: -/- | 25906 17.02.2011 10:38
проведите измерения по акустике вибрустике на соответствия принятым документам и тогда уже скажете защищенное оно у вас или нет)

Автор: sss | 25907 17.02.2011 10:43
Просто начальник говорит составить требования к помещению! Я ему сказал не имея документов я не могу составить эти требования т.е. составить требования к помещению, которого даже в проекте здания еще нет! Возможно ли это? Или просто процетировать ему СТР-К и все?

Автор: :-) | 25908 17.02.2011 10:43
Если помещение является выделенным, то в нём согласно СТР-97 должны выполняться требования по АК/ВАК/АЭП и режимные требования. Последние как раз включают физическую охрану помещения и регламентированный допуск туда сотрудников. При исследовании АК/ВАК/АЭП для ВП строение стен, окон, наличие жалюзи, количество проводов значения по сути не имеет: если требования по акустике выполняются, то ничего не делаем, если не выполнятся, то применяем средства защиты (активные или пассивные по вкусу). Тоже самое и в отношении виброакустики АЭП и других возможных каналов утечки.

Автор: :-) | 25912 17.02.2011 11:07
Если помещения нет в проекте и к нему надо предъявить требования, то чего тут думать? определитесь сначала под какие требования Вам "нырять": гостайна или конфа. Затем из всех требований предъявляете чисто строительные (толстые стены и перекрытия, вся проводка и коммуникации максимально вынесены и должны быть проложены по внешней стороне стен, тамбур с двойными дверями). Всё остальное - организационные и технические меры. А они чисто индивидуальны, без измерений и регламентов под оргструктуру не обойтись.

Автор: sekira | 25913 17.02.2011 11:13
"Толстые стены и перекрытия, вся проводка и коммуникации максимально вынесены и должны быть проложены по внешней стороне стен, тамбур с двойными дверями"

А это чисто из опыта или есть требования ? :)

Автор: sss | 25916 17.02.2011 11:33
"Если помещение является выделенным...
Ну да! Согласен! Под выделенным имел ввиду то место которое выделят для помещения :) Не владею всей терминологией :(
У нас только под конфу!
А если это помещение собираются делать внутри большого офиса который занимает весь этаж?

Автор: :-) | 25918 17.02.2011 13:15
>> А это чисто из опыта или есть требования ? :)
Г-н Секира, Вы же измеритель. При действующих методиках ФСТЭК и ГОСТах более творческой профессии у нас в стране не найти! Неужели, чтобы на этапе проектирования здания, можно предложить что-то большее для будущей защиты помещения?

>> А если это помещение собираются делать внутри большого офиса который занимает весь этаж?
Ну, это то всё меняет! В таком случае вся физика и метрология будет работать наоборот?!
Если будет отдельное помещение, то у него стен и коммуникаций не будет? Предложите проектировщикам и своему начальнику заложить в стену не 1 кирпич, а 2. Плюс отделку каким-нибудь звукопоглотителем покрыть, а проводку и коммуникации пустить снаружи по максимуму (после покраски и ремонта всё будет красиво). Вся остальная защита индивидуальна - она будет организационно-техническая и на строительство никак не влияет.

Автор: sss | 25920 17.02.2011 13:46
Спасибо :)

Дело в том, что стены они планируют не из кирпича, а метало-пластика! Я вот думаю можно ли так? Может им намекнуть на "СЭндвич" панели (или как там они называются :)?) они подойдут в роли шумопоглатителя?

Автор: :-) | 25921 17.02.2011 14:56
Зайдите к проектировщикам и не намекая им, именно попросите их сделать ТОЛСТЫЙ "сэндвич", максимально максимально увеличить в будущем звукоизоляцию помещения. Они Вам предложат пару-тройку вариантов, Вы выберите и предложите начальнику - все у всех будет счастье, мир, респект и полная "уважуха"!

Прошло около недели

Автор: Максим | 26347 28.02.2011 12:21
Вопрос к Елене из МИАЦ.

Елена, подскажите, пожалуйста.
Каковы требования к документам, подтверждающим право пользования помещениями (приказ №181 9.2 г.). У нас есть договор аренды с собственником на 11 месяцев. Достаточно ли этого или следует заключить договор на весь предполагаемый срок действия лицензии - 5 лет ?

Автор: Некто | 26358 28.02.2011 13:48
Достаточно, но необходимо приложить к договору акт приема-передачи помещения и документ, подтверждающий права собственника (арендодателя). Если у вас субаренда, то всю цепочку по тому же алгоритму от собственника до Вас. При этом не забудьте разрешение собственника (арендодателя) арендатору на право сдачи в субаренду. Тщательно проверьте все сроки действия в договорах, актах, разрешениях.

Автор: Максим | 26360 28.02.2011 14:07
Уважаемый Некто, спасибо, это согласуется с моим опытом получения других лицензий.

Автор: Sks, E-portal | 26455 02.03.2011 13:36
Подскажите пожалуйста, для выполнения лицензионного требования - "использование предназначенных для осуществления лицензируемой деятельности программ для ЭВМ и баз данных на основании договора правообладателем" - достаточно будет этого ПО:
1. Программа фиксации и контроля исходного состояния программного комплекса ФИКС. (версия 2.0.2)
2. Программа поиска и гарантированного уничтожения информации на дисках TERRIER. (версия 3.0)
3. Система анализа программного и аппаратного обеспечения TCP/IP (сетевой сканер) Ревизор сети.(версия 2.0)

Автор: Елена, МИАЦ | 26462 02.03.2011 14:12
Еще конечно должна быть лицензионная ОС, Office (если вы им пользуетесь), средства от НСД, антивирус. У нас Ревизоров два : 1 ХР, 2 ХР. "Ревизор 2 ХР" - программа контроля полномочий доступа к информационным ресурсам. "Ревизор 1 ХР" - средство создания модели разграничения доступа.

Автор: Sks, E-portal | 26466 02.03.2011 14:43
Благодарю, Елена, что так быстро откликнулись.
Оценил ценность вашего участия в ветках форума, не могли бы Вы мне выслать на sks@e-portal.ru ваши контакты(e-mail, icq...) для более конкретных вопросов. Буду признателен.

Автор: sss | 26498 03.03.2011 10:02
Вчера зам.директора получал лицензию ТЗКИ
и задал там такой вопрос:
"Дает ли нам право данная лицензия аккредитоваться ИЛ ПО на НДВ"

Ему ответили, что рассматривается какой-то закон, исходя из которого эта лицензия дает такое право :)
Обсурд! Но с его слов!
Слышал кто-либо об этом?

Прошла пара недель

Автор: B.А. | 27042 23.03.2011 16:13
Не подскажете ли, при проверках ФСТЭК приходится предъявлять средства контрольно-измерительного оборудования или же лишь документы о том, что подобными обладаем на законном основании?

То есть - имеет ли смысл арендовать оные на бумаге, не имея их в действительности?

Автор: sss | 27043 23.03.2011 16:26
У нас это так и прошло.
Оформляли акт на аренду КИО в конце февраля, а акт был от 5 февраля :)
Я думаю зависит от региона где Вы находитесь и региона где находится арендодатель!

Прошла пара месяцев

Автор: Павловна | 28625 25.05.2011 16:39
Сделали запрос и на СТР-К и на ГОСТЫ они идут уже больше двух месяцев.
Работа стоит, потому что ничего не понятно.
Если разговаривать с контрагентами по вопросам оказания работ, то хотелось бы чтоб они с нас большего не взяли. Поэтому если знаете ссылки на более актуальные документы, просьба их скинуть. Спасибо.

Автор: Jud | 28633 26.05.2011 12:22
Добрый день!

Хотелось бы подробнее поговорить о процедуре получения лицензии ФСТЭК на осуществление деятельности по защите конфиденциальной информации.
А точнее о перечне документов, которые необходимо предоставить ФСТЭК.
Один из пунктов - копии аттестатов соответствия защищаемых помещений требованиям безопасности информации. Так вот где же можно ознакомиться с этими требованиями к помещениям? может какой нормативные акт? Подскажите пожалуйста.

Заранее благодарю!

Автор: spartrom | 28635 26.05.2011 17:25
Добрый день, коллеги! Может, немного не по теме, но всё же. Подскажите, имея лицензию по ТЗКИ, можно устанавливать и настраивать на объектах заказчика СЗИ от НСД или для этого надо ещё дополнительно получить лицензию по разработке СЗКИ. Если не затруднит то со ссылками на документы.

Автор: spartrom | 28636 26.05.2011 17:29
Для Jud:
Все требования к ЗП изложены в СТР-К.

Автор: Фёдор | 28638 27.05.2011 01:45
> 28635
- можно.

Автор: Jud | 28644 27.05.2011 10:15
spartrom, а где можно ознакомиться с содержанием СТР-К? он есть в свободном доступе?

Автор: Alex_kl | 28648 27.05.2011 12:06
Он - ДСП

Автор: spartrom | 28650 27.05.2011 14:20
Для Jud:
Вам правильно сказали - СТР-К относится к документам ДСП, их надо заказывать в ФСТЭК.
Коллеги, так неужели никто не знает ответа на вопрос: имея лицензию по ТЗКИ, можно устанавливать и настраивать на объектах заказчика СЗИ от НСД или для этого надо ещё дополнительно получить лицензию по разработке СЗКИ? Если не затруднит то со ссылками на документы. Ответы типа "да" или "нет" не принимаются :)))

Автор: :-) | 28661 27.05.2011 18:55
Что за истерики?! Кто с Вас требует лицензию по разработке СЗКИ? Почему Вы у них не спрашиваете обоснование "со ссылками на документы" их бредового требования?
Разработка - это создание нового, а Вы при установке берёте уже созданное, сертифицированное СЗКИ. Для получения "железного" юридически значимого обоснования и документального подтверждения Вы всегда можете сделать запрос в ФСТЭК.

Автор: spartrom | 28666 27.05.2011 19:26
Уважаемый :-), что же Вы так горячитесь, просто не бережёте себя, так нельзя:) С чего Вы взяли что это истерика? Просто есть мнение у регулирующих органов на этот счёт, и мне теперь хочется узнать, что думают грамотные форумчане по этому поводу, может, у кого-то были уже подобные вопросы. За Ваше мнение спасибо.

Автор: :-) | 28667 27.05.2011 20:18
Если не секрет, то какие именно регулирующие органы требуют лицензию на разработку СЗКИ при установке и настройке СЗИ от НСД? Уж, от кого, так это от регулирующих органов меньше всего можно было ожидать таких требований... Что-то Вы не договариваете, г-н spartrom...

Автор: virus | 28671 28.05.2011 03:30
не знаю требуют ли лицензию на разработку СЗИ на конфи, но в ГТ нужна лицензия на разраьботка СЗИ в части их реализации, монтажа, наладки.
На сколько я знаю, есть многие неслабые конторы в области защиты, которые защищают ИСПДн не имея подобных лицезний...и ФСТЭК к ним вопросов не имеет

Автор: :-) | 28672 28.05.2011 04:48
Конечно вопросов не имеет. Потому что мы живём в "демократическом" государстве!

Автор: spartrom | 28692 30.05.2011 10:05
Для :-)
Вы не совсем поняли моего вопроса. С меня никто ничего не требует, просто при получении лицензии по ТЗКИ посоветовали получить ещё и лицензию по разработке СЗКИ, сказав, что в конфе всё сделано по аналогии с ГТ, как уже верно заметил уважаемый virus. Я пытался найти в документах ФСТЭКа упоминание об этом, но найти не смог, поэтому и задал свой вопрос. Насколько я сейчас разобрался, такого упоминания в лицензионных документах ФСТЭК нет вообще.

Автор: :-) | 28701 30.05.2011 10:51
Для spartrom:
Вот так и можно было сказать сразу ;-)
Вам посоветовали получить лицензию на разработку, скорее всего, исходя из следующих соображений: требования при получении второй лицензии (на разработку которая) практически совпадают с первой (которая на ТЗКИ). Так у Вас вместо одной сразу будет две лицензии - круто же, сразу 2 лицензии иметь? По козырять можно перед общественностью, да и коэффициент значимости поднять.
При этом всем без разницы, что разработкой СЗИ Вы заниматься не будите, а лицензию "поддерживать" во времени всё таки как-то надо (но это уже головная боль исполнителей, а не руководства).
ПОДЧЁРКИВАЮ: это моё личное мнение. Любителей спрашивать "дайте ссылку на документ, где сие прописано" прошу не утруждать себя.
В документах ФСТЭКа можете не искать. ФСТЭК не только в документах , но и в устной дискуссии "уходит" от сравнения конфы с ГТ. Потому что, образно говоря, перечня какие виды работ проводятся по какой лицензии нет. Всё либо условно, либо, как сказал когда то В. Черномырдин... (а-а здесь может подойти его любое высказывание).

Автор: spartrom | 28703 30.05.2011 12:16
Для :-)
Спасибо за ответ. Согласен с Вами полностью в этом вопросе. Кстати, поговаривают, что в скором времени будет документ, где будет чётко расписано, на что распространяется и 1, и 2 лицензия по конфе.

Автор: :-) | 28706 30.05.2011 13:09
Одно лишь желание сделать такое стоит того.ю чтобы выпить по этому поводу с друзьями :-)))))))) (стоя и не чокаясь). Прелюбопытнейше будет посмотреть на то как ФСТЭК умудрится "разделить" виды деятельности между лицензиями ПП 504 (ПП 532), ПП 333 и ПП 957.

Автор: Некто | 28707 30.05.2011 13:46
:-),
не одна ФСТЭК в процессе участвует.
Из проектов постановлений, которые затем стали ПП 504 (ПП 532), перечень видов работ, которые входят в лицензируемый вид деятельности, Минюст вымарал. Ну а ГТ и КИ унифицировать не будут. Там своя свадьба, здесь своя.

Автор: :-) | 28709 30.05.2011 14:09
Да, г-н Некто, я слышал что-то подобное. Кроме того, слышал, что Минюст не просто так вымарал перечни. Глубоко убеждён, что и в этот раз ситуация повторится.
На счёт ГТ и КИ: я не сторонник объединения или унификации этих направлений. Но в нашей демократической стране утверждать что-то зависящее от политики очень не надёжная штука.
Удастся поделить направления и сформулировать перечень работ - буду им благодарен. На мой взгляд, проблема не в том, чтобы сформулировать перечень работ по лицензии, а в том кто и как это будет обеспечивать и контролировать выполнение на просторах нашей Родины?!

Автор: Павловна | 28816 03.06.2011 09:51
Существует ли перечень документов, который подтверждает ПРАВО на используемые программы???

Это имеется в виду Лицензии, Сертификаты??? если в Сертификате нет указки на Организацию, то прикладывать счет-фактуру???

Если Сертификат на англ языке??? делать перевод???

Автор: Некто | 28819 03.06.2011 10:24
Счет-фактуры (накладной) достаточно

Автор: :-) | 28820 03.06.2011 11:13
Для ФСТЭКа при лицензировании да. Но судя по судебной практике рассмотрения дел о нарушении авторских прав, то иногда и договора и фактов оплаты бывает не достаточно. Поднимают всю цепочку лицензионных сделок, чтобы удостовериться и доказать наличие или опровергнуть нарушение прав автором на ПО...

Автор: Некто | 28825 03.06.2011 11:51
Смотрим на тему ветки... Думаем...

Автор: :-) | 28827 03.06.2011 12:37
:-) Именно всё, как Вы просите, г-н Некто: И смотрим на тему ветки и думаем :-)
Первое предложение относится к "Смотрим на тему ветки...", а второе предложение к "Думаем..."

Автор: Некто | 28829 03.06.2011 12:43
Пятница....
Связи не улавливаю :(
Одно из двух:
- процесс обозрения сам по себе - думы сами по себе;
- плохо у меня с образованием и профильной подготовкой :(((

Автор: Павловна | 28831 03.06.2011 12:47
Так что делать с Лицензией на англ???
по идее нигде не написано что на англ языке не принимают...

Автор: :-) | 28833 03.06.2011 13:44
Для Некто (28829):
Не надо так трагично. Судя по форуму Вы далеко не глупый человек :-)))

Для Павловны (28831):
Прикладывайте ВСЁ ВСЁ ВСЁ, что доказывает о Ваших правах на ПО: договоры, платёжки, ТТН'ы, лицензии и т.д. не взирая на язык на котором они написаны. С этом случае как нельзя лучше подходит пословица: "Чем больше бумаги, тем чище...". Удачи!

Прошло несколько недель

Автор: Ирина | 29463 01.07.2011 07:17
Подскажите пожалуйста, когда пишешь заявление на предоставление лицензии в шапке просто "В Федеральную службу по техническому и экспортному контролю", как в приложении 1 регламента, или нужно более конкретно Должность, фамилию, адрес и т д.

Автор: :) | 29526 05.07.2011 17:06
А на конвертирование фстэк даст лицензию?

Автор: Некто | 29527 05.07.2011 17:14
Это вы о чем?
Об откатах?
Или переписке конфиденциальной?
Или как видео на айфон залить?

Автор: :) | 29532 05.07.2011 23:02
о квитанциях жкх

Прошло около недели

Автор: Елена, МИАЦ | 29740 13.07.2011 12:26
В связи с выходом 83-фз и переходом учреждений на казенные и бюджетные гос учреждений возникает необходимость переоформления лицензии ТЗКИ. Для переоформления необходимы:
- заявка на переоформление лицензии согласно адм.регламенту 181 (приложение 12,13);
-копии учредительных документов,заверенные нотариально(в том числе решение учредителя о смене названия);
- документ,подтверждающий уплату гос пошлины за переоформление лицензии- это 200 руб.
Все это отправляем во ФСТЭК.
Заявление о переоформлении документа, подтверждающего наличие лицензии, подается лицензиатом в ФСТЭК России не позднее, чем через 15 дней со дня внесения соответствующих изменений в единый государственный реестр юридических лиц или единый государственный реестр индивидуальных предпринимателей либо со дня изменения адресов мест осуществления юридическим лицом или индивидуальным предпринимателем лицензируемого вида деятельности, если федеральным законом не предусмотрено иное.

Прошла пара недель

Автор: )))))7777 | 30095 25.07.2011 13:12
Имея на руках лицензию по ТЗКИ можно ли проводить работы по аттестации АС и ЗП (конфиденциальных) или необходим Аттестат аккредитации??? заранее спасибо.

Автор: Некто | 30098 25.07.2011 14:04
Никому не отвечать!!!!
Пусть ищет по форуму!
Я понимаю, что лень, но не настолько же!!!

Прошло несколько месяцев

Автор: СтарКом, РГУП | 34398 02.02.2012 12:55
Елена (МИАЦ), вы не могли бы мне скинуть АКТУАЛЬНЫЙ перечень нормативно-правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации мне на почту - badiev@it08.ru. Вы говорили что у Вас есть актуальный перечень.

Автор: Инфер | 34536 07.02.2012 22:16
СтарКом, не торлопитесь.У них новое постановление, и там многое по новому. Есть Консультант+ и он многое закроет, а вот по технической и технологической документации надо просто дождаться чего напишут и повесят дляя всех. Сидим-с, ждем-с, и пытаемся предугадать.

Автор: Альтернативщик, KS | 34540 08.02.2012 09:33
Коллеги!
Кто как откуда следит за выходом новых нормативных правовых актов, нормативно-методических и методических документов по вопросам защиты информации ?
прошу поделиться ссылками, мнениями, чтобы нам всем было удобно ориентироваться в этой части.

Автор: СтарКом, РГУП | 34542 08.02.2012 10:28
Инфер, а что за постановление? можно ли его почитать? проект?

Автор: Альтернативщик, KS | 34543 08.02.2012 10:50
СтарКом, РГУП
постановление правительства по лицензированию в части конфиденциалки, уже вот-вот должно появиться

Автор: Некто | 34545 08.02.2012 12:10
TIP | 34544

Его вроде уже приняли но официально не опубликовали...

Не сочтите за труд - поясните свою мысль. А то у меня приступ когнитивный диссонанса вот-вот начнётся.

Автор: СтарКом, РГУП | 34547 08.02.2012 12:28
Альтернативщик, TIP, спасибо огромное за информацию.
Некто, чего тут непонятного?
Постановления Правительства РФ подлежат официальному опубликованию в "Российской газете" и "Собрании законодательства РФ" в течение десяти дней после дня их подписания. Вступают в силу одновременно на всей территории Российской Федерации по истечении семи дней после дня их первого официального опубликования. такие слова как приступ когнитивного диссонанса знаешь, а как документ публикуется, не знаешь!

Автор: Некто | 34549 08.02.2012 12:43
СтарКом, РГУП
Как публикуются - знаю. Потому и спрашиваю.

TIP | 34548
За ссылку спасибо. С утра сайт МЭР еще ничего не сообщал

Автор: TIP | 34550 08.02.2012 13:04
На сколько я знаю на сайте МЭР публикуются только проекты документов, но могу и ошибаться...

Автор: :-) | 34565 09.02.2012 06:34
Уважаемые форумчане, кто-нибудь может мне подсказать чем отличаются (или будут отличаться) аттестационные испытания от аттестации? В СТР'е эти понятия вроде бы приравнены друг к другу. Т.е. в гостайне нет разделения между этими понятиями. А вот в новом постановлении от 3 февраля 2012 г. N 79 сказано:
4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:
...
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации:
средств и систем информатизации;
помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;
...

И неужели мы теперь будем вынуждены лицензироваться и заниматься аттестацией не только "защищаемых помещений", но и "помещений со средствами (системами) информатизации, подлежащими защите" (я так понимаю, что во втором случае речь идёт просто об охраняемых помещениях)?

Автор: TIP | 34566 09.02.2012 07:47
Аттестация более широкое понятие, в аттестацию кроме самих аттестационных испытаний входят еще и другие мероприятия.

А вот что имеется в виду под "помещениями со средствами (системами) информатизации, подлежащими защите", мне пока самому не понятно... Требований к таким помещениям нет, следовательно на соответствие чему аттестовать не понятно...

Автор: :-) | 34571 09.02.2012 08:54
Для TIP, 34566:
Уверен, что когда Вы разделяете понятия аттестации и аттестационных испытаний на "более широкое" и "более узкое", Вы чем-то руководствуетесь. Пускай не нормативными требованиями, но логика, хоть какая-то, в рассуждениях всё равно должна быть?!
Дело в том, что при проведении работы опираться на "более" или "менее" очень сложно (мягко говоря). Например, что следует указывать в договоре аттестация или аттестационные испытания? Если понятия разные, то и объём проводимых работ тоже будет разным. я уже не говорю о той чехорде и неразберихе, которые начнутся при выдаче лицензиатами отчётных документов на объекты (протоколы, заключения, акты и т.п.).

По поводу "помещений со средствами (системами) информатизации, подлежащими защите": на мой взгляд необходимо сначала разобраться что это за вид помещения? А затем говорить о требованиях к нему. Я предположил, что речь идёт об охраняемых помещениях (но может я и ошибаюсь), тогда, например, для проектирования серверного помещения или комнаты дежурного охранника проектная организация должна будет получать лицензию ФСТЭК на основании п. 4 (д) нового постановления.

Автор: СтарКом, РГУП | 34572 09.02.2012 09:32
я так понимаю - аттестационные испытания проводят для того чтоб получить аттестацию, т.е. это один из пунктов аттестации. после проведения аттестационных испытаний нужно сделать протокол испытаний и заключение. и будет тебе счастье! ))

Автор: :-) | 34573 09.02.2012 09:44
"получить аттестацию"? Получают документ по "фамилии" Аттестат соответствия, а не "аттестацию". В моём понимании аттестация - это процедура, поэтому говоря о ней будет правильнее говорить "проводить аттестацию", вместо "получить аттестацию"... И тогда точно будет счастье и не только мне, но и всем! :-)))

Автор: :-) | 34589 09.02.2012 13:35
Неужели ни у кого нет светлых мыслей по поводу разницы понятий "аттестация" и "аттестационные испытания"? Даже у г-на Прохожего? :-)))

Может специалисты по сертификации чего предложат?! Поскольку они, в своём роде, следующие на очереди: у них должны будут делить понятия "сертификация" и "сертификационные испытания"...

Автор: 8-й | 34592 09.02.2012 13:44
Аттестация ОИ комплекс организационно-технических мероприятий: разработка доков, измерения (расчет), закуп установка настройка СЗИ и т.д.
Аттестационные испытания техническое мероприятие, испытываются установленные и настроенные (согласно результатам протоколов) СЗИ на соответствие установленным нормам и требованиям.

Автор: Некто | 34596 09.02.2012 13:54
...у них должны будут делить понятия "сертификация" и "сертификационные испытания"...

Они давно разделены. Посмотрите, что написано в лицензии по ТЗИ организации, являющейся спытательной лабораторией, а что в лицензии ТЗИ органа по сертификации.

Автор: :-) | 34599 09.02.2012 14:34
Если кого обидел или кто счёл мои слова "наездом", то приношу свои извинения. Особенно г-ну Прохожему. Наверняка Вы не поверите, но я не озадачивался целью наехать или обидеть (особенно кого-то взять на "Слабо"). Цель была иная - привлечь внимание форумчан к вопросу, который для меня до сих пор не ясен.
Для меня оба понятия "аттестации" и "аттестационных испытаний" являются едиными, и в их разделении не вижу необходимости. Одна надежда: в нормативных документах появятся необходимые толкования того и другого.

Для Некто:
Раньше я не придавал значения к вместе указанным в лицензиях на ТЗИ словам "сертификация" и "сертификационные испытания", считая это одним понятием. Постараюсь разобраться, что является частью другого.

Разумеется к источникам глоссария и к имеющейся у меня нормативке обращусь очередной раз. В принципе форум для этого и нужен, чтобы людей к источникам возвращать...

Автор: лицензиат, KS | 34611 10.02.2012 12:36
Товарищи, планируется ли выход такого же постановления прав-ва, касающегося вопросам разработки и (или) производства средств защиты конфиденциальной информации?

Автор: Некто | 34614 10.02.2012 12:52
Поправочка: не "планируется ли...", а "когда выйдет"? Обязаны.
Проект в Правительстве с конца декабря. Ждём- с.

Автор: Прохожий | 34615 10.02.2012 13:23
Вроде есть такое пп рф
Постановление Правительства РФ от 31 августа 2006 г. N 532 "О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации"
если только изменения...

Автор: Мила | 34618 10.02.2012 14:01
А данное постановление вступило в силу уже?

Автор: Некто | 34619 10.02.2012 14:20
Прохожий, вы путаете:
504 > 79
532 > ?

Автор: Прохожий | 34620 10.02.2012 14:31
2 Некто 34619
Не въехал...
504 уже тоже заменено - Постановлением Правительства РФ от 21 ноября 2011 г. N 957 "Об организации лицензирования отдельных видов деятельности"
а в преамбуле 79 сказано что 532 отменено

И где я успел напутать?
Кажется NEPRAVDA ваша

2 Мила
А насчет правил ввода - обычно (если не указано в тексте иное)
через 10 дней с момента первого официального опубликования - считаем на пальцах - мне это сложно....

Автор: Мила | 34621 10.02.2012 14:34
Прохожий, так официально опубликован данный документ еще не был....

Автор: Прохожий | 34622 10.02.2012 14:39
Ну не угодил...опять пардоньте...
Мониторьте rg.ru и через десять дён с момента...
как только - так сразу
Я же не виноват что еще не опубликован?
Или виноват?
....

Автор: Мила | 34624 10.02.2012 14:41
Что-то сегодня не ваш день=) надо не гадать, а точно знать=) вы же не на экзамене=)

Автор: лицензиат | 34625 10.02.2012 14:42
Прохожий,
раньше было ПП №504 "о лицензировании деятельности по технич.защите конфиденциальной информации" , а теперь оно заменено на ПП №79 "о лицензировании деятельности по технич.защите информации"...
далее по аналогии,
раньше было (да и сейчас пока вроде действующий) ПП №532 "о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации", а теперь будет другое ПП, новое.

Автор: Прохожий | 34626 10.02.2012 15:31
Уважаемые ....!
Не вполне понял суть претензий ко мне собственно.
Сослался я на некое постановление.
Увидел, что опубликовано новое, его отменяющее.
Тут-же привел ссылку на него.
Даже текста не приводил.
Никаких логических цепочек не строил.
Постановления друг с другом не сравнивал.
79 даже толком не прочитал.
Не хотите не пользуйтесь - причем здесь я?

Что за указания - типа
...надо не гадать, а точно знать...это вы лучше к себе применяйте!
Хотите гадайте - ...
хотите точно знайте - ....выбор то за вами.

Мне собственно по-фигу будет ли оно опубликовано или не будет.
В нашей стране бывает по-всякому.
1233 опубликовали в открытую только после нескольких судов...

Так что давайте по существу вопроса а не нравится - не нравится.
Есть информация - смотрите.
А зеркала бить не стоит...

Автор: Прохожий | 34628 10.02.2012 15:48
2 лицензиат 34625
Вы правы.
Я текст 79 толком не прочитал, но мне мелькнулось что 532 оно выводит, а там реально действительно 504.
Рядом другой проект лежал...это оттуда было.
Сути это надеюсь не меняет.
Приношу извинение за дезу.

Автор: Некто | 34629 10.02.2012 15:55
Не успел :)

Автор: СтарКом, РГУП | 34630 10.02.2012 16:06
Прохожий | 34626 Суть претензий такова - что Вы даже толком названия Постановления не прочитав приводите какие-то ссылки и пытаетесь подсказать. и поэтому все запутали
из названия уже видно, что на замену ПП РФ от 15 августа 2006 г. N 504 пришел ПП РФ от 3 февраля 2012 г. N 79. (подписан но не опубликован еще)
на замену ПП РФ от 26 января 2006 г. N 45 пришел ПП РФ от 21 ноября 2011 г. N 957 (опубликован, вступил в силу)
на замену ПП РФ от 31 августа 2006 г. N 532 тоже пришел какой то. но не вступил в силу еще (по мои данным)

Автор: Прохожий | 34632 10.02.2012 16:21
СтарКом, РГУП 34630
ДА, я согласен - текст 79 толком не прочитал, мелкий шрифт показалось выведено 532.
А на самом деле 504.
Старый стал совсем слепой.
Думаю сути это не меняет и в том, что оно еще не опубликовано вина не моя.

Тут УЭКкеры валом прут, какая уж тут конфиденциальность

На мой взгляд - рвачество все это.
ФЗ 152 - панама.
И все нисходящее туфта для съема денег.
Воздух пока еще не залицензировали - дышут тут всякие...

Прошла пара месяцев

Автор: Telmax | 35692 22.03.2012 17:37
Новое положение о лицензировании по ТЗКИ требует сосискателя требует:

5. ж) наличие технической документации, национальных стандартов и
методических документов, необходимых для выполнения работ и (или)
оказания услуг, предусмотренных пунктом 4 настоящего Положения, в
соответствии с утверждаемым Федеральной службой по техническому и
экспортному контролю перечнем и принадлежащих соискателю лицензии на
праве собственности или на ином законном основании;

след документы куплены:
1.Базовая модель...
2. Извещение к СТР-К
3. Сборник временных методик..
4. СТР-К

Кто знает, подскажите, что еще требуется предоставить ?

Прошла пара недель

Автор: Тимерлан | 36166 10.04.2012 16:52
Коллеги, добрый день!

Наша компания планирует получить лицензию на ТЗКИ.
У нас есть филиал в другом регионе, адрес которого также предполагаем указать в лицензии по месту осуществления деятельности по ТЗКИ.
Планируем аттестовать АС и ЗП.
Вопрос: достаточно ли аттестовать два ЗП (одно в головном офисе, второе в филиале) и один АРМ на всю компанию?
Или по месту осуществления деятельности в филиале кроме ЗП надо ещё один АРМ аттестовывать?

Автор: Тимерлан | 36167 10.04.2012 16:57
И ещё один вопрос по аттестации АС и ЗП:
в новом Постановление Правительства РФ от 3 февраля 2012 г. N 79
"О лицензировании деятельности по технической защите конфиденциальной информации" есть пункт
4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации:
средств и систем информатизации;
помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;

Так вот, кто-нибудь сталкивался с тем, что
можно получить один аттестат соответствия на помещение вместе с АС?

Автор: Гость | 36301 17.04.2012 14:28
15 марта 2012 года вступил в действие нормативный документ ФСТЭК России «Требования к системам обнаружения вторжений«, утвержденный Приказом ФСТЭК России от 6 декабря 2011 года (зарегистрированный Минюст России, рег.№ 23088 от 1 февраля 2012 года).

Документ устанавливает 6 классов защиты СОВ:

•6 класс — для ИСПДн 3 и 4 классов;
•5 класс — для ИСПДн 2 класса;
•4 класс — для ИСПДн 1 класса, ИСОП 2 класса, государственных АС 1Г, 2Б, 3Б
•3, 2, 1 классы — соответственно для АС 1В, 1Б, 1А (2А, 3А)

Требования уточнены в Профилях защиты (представленных как методические документы ФСТЭК России) для 2-х типов систем обнаружения вторжений (уровня хоста — HIDS и сетевого уровня — NIDS). Прифили защиты, не касающиеся защиты гостайны, уже общедоступны на сайте ФСТЭК России:

•Профиль защиты систем обнаружения вторжений уровня узла четвертого класса защиты
•Профиль защиты систем обнаружения вторжений уровня узла пятого класса защиты
•Профиль защиты систем обнаружения вторжений уровня узла шестого класса защиты
•Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты
•Профиль защиты систем обнаружения вторжений уровня сети пятого класса защиты
•Профиль защиты систем обнаружения вторжений уровня сети шестого класса защиты

Остальные Профили защиты лицензиаты могут заказать у регулятора.

Вопрос у меня заключается в следующем: нужно ли указывать в перечне имеющихся у нас документов наличие данных профилей защиты и заказывать профили защиты СОВ для 3го, 2го и 1го класса защиты у релулятора, если мы собираемся собираемся получать лицензию по ТЗКИ, но не собираемся оказывать услуги по проведению сертификационных испытаний СЗИ.

Заранее спасибо за ответы.

Автор: Нефедьев С.Г. | 36303 17.04.2012 14:49
Гостю на 36301:

Консультант плюс:

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ИНФОРМАЦИОННОЕ ПИСЬМО
от 1 марта 2012 г. N 240

ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К СИСТЕМАМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ

Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации.

Автор: JVX | 36324 18.04.2012 09:28
Добрый день!

Наша компания планирует получить лицензию на ТЗКИ.
следуя из постановления №79 " О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ
ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ" из статьи 4 мы собираемся оказывать услуги предусмотренными подпунктами "б" и "е" (в пункте "е" без испытания).
вопрос: какой перечень Гостов необходимо указать сведения о имеющихся нормативных правовых актах, нормативно-методических и методических документах по вопросам технической защиты информации?
да не надо писать чтобы я позвонила в свой региональный ФСТЭК и узнала там. звонила они сказали смотрите на сайте. А на сайте указан список гостов и нормативных документов по состоянию на 2006г, а на дворе 2012г.

Прошла пара недель

Автор: Денис Неонович, Химик | 36696 02.05.2012 08:55
("Есть официальная информация о наличии контрольно-измерительноо оборудования при получении лицензии не нужно, если вы не будете заниматься техническими каналами утечек. Об этом же говорит и опубликованный во вторник документ на сайте ФСТЭК. " - не могли бы вот это изложить по русски?)

Неудачно мной изложеный текст, взятый с сайта автора (смотри выше).
На самом деле он выглядит так:

Наличие контрольно-измерительноо оборудования при получении лицензии не нужно, если вы не будете заниматься техническими каналами утечек. Об этом же говорит и опубликованный во вторник документ на сайте ФСТЭК. А вообще список документов, необходимых для выполнения работ и оказания услуг по ТЗКИ также был опубликован во вторник на сайте ФСТЭК.

Автор: Денис Неонович, Химик | 36725 02.05.2012 16:33
Всем доброго дня!

Разъясните пожалуйста, возник вопрос в результате прочтения Постановление Правительства РФ " Положение о лицензировании.." от 03.02.2012 года.

пункт 5 в): " наличие на праве собственности или на ином законном основании контрольно-измерительного оборудования..."

Какой документ подразумевает права собственности на оборудование??


Автор: KKX | 36726 02.05.2012 16:48
Добрый день! Право собственности является: 1) Договор покупки КИО:
2) Договор аренды КИО

Автор: Некто | 36730 02.05.2012 18:18
Дополню:
документ, подтверждающий право безвозмездного пользования на на КИО;
Вместо п. 1 подойдет так же накладная на покупку (копия счёт-фактуры).

Автор: Денис Неонович, Химик | 36838 04.05.2012 10:42
Доброго всем дня!

На сайте уже обсуждался перечень КИО для получения лицензии, но ознакомившись с временными методиками возникли вопросы, которые я адресую практикам.

1.(Виброакустика; акустоэлектрика) Чем заменить генератор шума или аналоги укажите.

Рекомендованные: Г2-37, Г2-47, «Кабинет», «Шорох-1», «Шорох-2» (Россия),
03000, 03004 (Германия) и др.

2.(Акустоэлектрика) Чем заменить селективник В6-9, аналоги.( нижняя часть спектра )

P.s. Не указывайте серию приборов В6 - , в курсе.


Автор: Некто | 36840 04.05.2012 11:28
Г-н Нефедьев С.Г.
1. Очень бы хотелось увидеть ссылку на сайт РИА Новости, а не на анонимный краснодарский сайт,очень пафосно себя рекламирующий.
2. "Мнение эксперта г-на Емельянникова" можно сказать и так: "по личному скромному мнению г-на Емельянникова".
Т.е. это не позиция государственного органа и не разъяснение уполномоченной на то юридической структуры (Минюста к примеру).
3. В новом постановлении имеется понятие "выполнения работ и оказания услуг" вместо "осуществления мероприятий и оказания услуг" имевших место ранее быть. Что какбэ продвигает область применения постановления к тем, кто зарабатывает деньги на защите информации, и отодвигает её от тех, кто делает это для собственного удовольствия.

Прошло несколько месяцев

Автор: Андрей | 38671 06.08.2012 16:32
Здравствуйте!
Моя фирма имеет лицензию, в связи с изменениями в постановление правительствами мне не надо подавать заявку на получение новой лицензии?

Автор: sekira | 38680 07.08.2012 09:23
Денис Неонович
Почитайте тему
- Выбор техсредств для СИ на ПЭМИН
- ПЭМИН
- Вопросы СИ АЭП (специальные исследования в области исследований акустоэлектрических преобразований)

а то одно и тоже по 10 раз!

Автор: Тим | 38748 11.08.2012 19:55
Андрею.
Это просто новые постановления. А лицензии надо переоформсить - гланое вам определиться, какие ратоты вы хотите видеть в лицензии и можете проводить.

Прошла пара недель

Автор: outloud | 38901 27.08.2012 15:43
Здравствуйте! Получение лицензии затянулось на длительное количество времени. Не могли бы Вы господа подсказать организации которые оказывают услуги "помощи" в получении данной лицензии (оказание услуг по технической защите конфиденциальной информации)??? Желательно те с которыми Вы сотрудничали в данном вопросе!

Автор: юлия | 38931 29.08.2012 10:50
Здравствуйте! подскажите, что за перечень защищаемых в автоматизированных системах ресурсов?

Автор: лицензиат | 38948 31.08.2012 09:41
Здравствуйте уважаемые форумчане!
В Перечне необходимой документации для ТЗКИ от 16 марта 2012 г. обнаружил несколько не действующих, отмененных, утративших силу документов! мало того, некоторые наименования доков написаны с ошибками.

Для примера из Перечня:
ГОСТ 17168-82. Фильтры электронные октавные и третьоктавные. Общие технические требования и методы испытаний - НЕ действующий.
ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения --- правильно следует писать: ГОСТ Р 52069.0-2003. Защита информации. Система стандартов. Основные положения. (с точкой и нулем).

ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство ---- в перечне помечен как документ ограниченного распространения. но он же открытый!.. также см. ГОСТ Р 51275-2006.

Это лишь часть из обнаруженных косяков. Также в Перечне по разработке и производству СЗКИ обнаружены подобные неточности, но там поменьше.
Хочется задать вопрос ФСТЭКу, не собирается ли он переиздавать этот косячный Перечень?

Автор: Некто | 38949 31.08.2012 10:09
Хочется задать вопрос "лицензиату": вы это зачем написали? Чтобы всем здесь показать какой вы умный?
Хотите поправить "косяки" напишите письмо в ФСТЭК с указанием всех недостатков, которые нашли.
Это будет деятельное участие в совершенствовании системы лицензирования. А пока похоже похоже на п{##^*ж в курилке.

Автор: лицензиат | 38952 31.08.2012 10:39
Некто | 38949
Написал в помощь для тех, кто занимается подготовкой к лицензированию, чтобы обратили на это внимание и учли, заодно и к всем остальным. Все таки представители ФСТЭКа тут тоже присутствуют и читают посты, могут принять соответствующие меры без всяких писем к ним же.

Прошло несколько месяцев

Автор: денис | 43039 04.04.2013 12:34
Здравствуйте!
Подскажите пожалуйста есть ли какой-нибудь регламент по количеству часов и стажу работ у специалистов, для получения лицензии по ТЗКИ. Я просто слышал что около1000 аудиторных часов и не менее 5 лет по лицензируемой деятельности.

Автор: JVX | 43052 05.04.2013 07:59
Я о таком первый раз слышу, эти требования которые вы написали из Положения № 313 от 16.04.2012 г., и это положение предназначено для получения лицензии у ФСБ.

Автор: Тим | 43082 06.04.2013 10:10
Лицензиату - а как часто перечни переутверждаются? Ведь лицензии по 99 закону бесконечные - то есть все новые требования только для новеньких? А соискателям - лучше пытаться все требования выполнить самим - хоть научимся, и не обращаться к посредникам. Пытаюсь понять = а иначе ради чего тогда заявляться? Ведь никто не имеет права и проверить.И нге надо заморачиваться

Прошла пара месяцев

Автор: лицензиат | 44737 02.07.2013 17:20
Автор: Тим | 43082 06.04.2013 10:10

Лицензиату - а как часто перечни переутверждаются?

Я откуда знаю, когда они переутверждаются....когда они становятся не актуальными, тогда должны переутверждаться; сейчас, ввиду того, что Перечни косячные, с ошибками, можно бы их переутвердить. вопрос другой , а кто ж будет этим заниматься? всем некогда. уже больше года висят.


"Ведь лицензии по 99 закону бесконечные - то есть все новые требования только для новеньких?" - я мой взгляд новые требования для всех, в том числе для тех кто имеет лицензии. нужно соблюсти все новые требования, которые вышли, до приезда очередной проверки.

Автор: Некто | 44739 02.07.2013 17:32
Требования - для всех. Т.е. для всех, кто имеет лицензию.
Иначе на лицензионном контроле скажут: ай-яй-яй! И выдадут предписание на устранение недостатков

Прошло несколько месяцев

Автор: Иван | 47286 12.11.2013 16:57
Здравствуйте, в перечне технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг по ТЗКИ указанно 117 документов которые должны быть в наличие, ДСПшные мы приобрели, а как доказывать ФСТЭК о наличие у нас остальных документов?

Автор: 1234 | 47341 14.11.2013 17:08
Договор с Консультант+ или Гарантом, о предоставлении вам баз и оказании информационных услуг...или купить все документы.

Прошло около недели

Автор: Денис Неонович, Химик | 47538 25.11.2013 14:31
Доброго дня Уважаемые!


Перечень КИО ....постановление Правительства РФ от 3 февраля 2012 г. N 79

Пункт 6.

Оборудование:

Селективные микровольтметры, измерительные приемники (анализаторы спектра).

Технические и (или) функциональные характеристики:

Диапазон частот 175...5600 Гц.
Диапазон измеряемых параметров
9 кГц...1000 МГц.
Погрешность измерения не более *%.
Погрешность измерения не более 2 Дб.

Вопрос: Вот не понятно как тут... ??? Ячейка одна, диапазон разный, оборудование разное, перечень вида работ один и тот же.
В методике по электроаккустике ЗП есть.

Нужен или не нужен Микровольтметр селективный?


Прошла пара недель

Автор: Тим | 47862 12.12.2013 23:18
Денису
Странный вопрос- если по характеристикам удовлетворяет - то, конечно, надо

Автор: Игорь | 47984 17.12.2013 12:18
Здравствуйте!
Собираемся получать лицензию ФСТЭК для проведения аттестации АРМов.
Набросал примерный перечень средств, которые необходимо закупить для получения лицензии.

1) Селективные микровольтметры, измерительные приемники (анализаторы спектра)
Диапазон частот 175…5600 Гц. Диапазон измеряемых параметров 9 кГц…1000 МГц. Погрешность измерения не более + 15 %. Погрешность измерения не более 2 Дб.
Измерительный приемник R&S ESPI 3 ~ 1 236 121 руб.
2) Измерительные антенны
Диапазон измеряемых частот: по магнитной составляющей 9 кГц…30 МГц; по электрической составляющей 9 кГц…1000
МГц. Погрешность измерения не более +2 дБ.
АИ5.1 ~ 69 880 руб.
3) Измерительные пробники
Диапазон измеряемых параметров 9кГц…300 МГц.
ПН-101 – Пробник напряжения ~29 300 руб.
4) Осциллографы
Диапазон измеряемых параметров 0…5 МГц.
Rigol DS1052E ~19 350 руб.
5) Оптические тестеры (измерители мощности) Длина волны калибровки, нм 850, 1310, 1550. Диапазон измерений оптической мощности дБ, от 3 до минус 10 -минус 73. Разрешающая способность, дБ -0,1…0,001.
FM-257836 ~ 17 727 руб.
6) Рефлектометры (микрорефлектометры)
Длина волны калибровки, нм 850, 1310, 1550. Диапазон измерений оптической мощности дБ, от 3 до минус 26 -минус 65. Разрешение по затуханию, дБ - 0,001.
FOD 7005 ~242 000 руб.
7) Программные средства формирования и
контроля полномочий доступа в автоматизированных
системах
Формирование и контроль полномочий доступа для автономных АРМ и сетей, серверов, работающих с тонкими клиентами, и компьютеров функционирующих в распределенных сетях.
8) Программные средства контроля целостности программ и программных комплексов
Расчет уникальных значений контрольных сумм модулей программного обеспечения. Документирование результатов расчета контрольных сумм.
9) Анализаторы уязвимостей в программном обеспечении и в автоматизированных системах
Воспроизведение сценариев, имитирующих компьютерные атаки на программное обеспечение и автоматизированные системы.
10) Средства контроля эффективности применения средств защиты информации
Поиск остаточной информации на носителях. Анализ защищенности сетей передачи данных.

Все ли оборудование соответствует требованиям? Если нет, то посоветуйте что-нибудь другое или что-нибудь подешевле, если соответствует, но есть дешевле.
Подскажите какие средства нужны для пунктов 7-10.



Прошел месяц

Автор: julia | 48704 17.01.2014 16:57
Игорь,
7) Программные средства формирования и контроля полномочий доступа в АС - Ревизор 2XP +Ревизор 1 XP
8) Программные средства контроля целостности программ и программных комплексов – ФИКС
9) Сетевой сканер "Ревизор сети" версия 2.0
10) Средства автоматизированного поиска остаточной информациина магнитных носителях после её удаления – Программа TERRIER

Программы взяты из Временных методик Гостехкомисии о порядке контроля соблюдения лицензионных требований и условий организациями-лицензиатами в области ТЗИ.
Посмотрите в методиках рекомендации там есть и программные СЗИ и рекомендуемые измерительные приборы

Прошла пара месяцев

Автор: Денис Неонович, Химик | 51138 17.03.2014 16:25
Доброго дня, Уважаемые!

Вопрос по заполнению заявления на получения лицензии по ТЗКИ и по постановлению 79:

1)Строка: - Адреса мест осуществления лицензионного вида деятельности:

Что необходимо тут указать, так как рабочих площадок много у организации. Не писать же Российская Федерация и страны СНГ ...?

2) Ниже указана выдержка из перечня лицензируемых видов деятельности.
Непонятно, что такое: "- помещениях со средствами (системами), подлежащими защите;", так как есть ЗП ,а также средства и системы информатизации.
а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
- средствах и системах информатизации;
- технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
- помещениях со средствами (системами), подлежащими защите;
- помещениях, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения);

Если кто в курсе разъясните пожалуйста из практики по вопросам.
PS: Не отправляйте к "Административному регламенту", так как там написано что оформлять, но не объяснено как.


Автор: Yason | 51141 18.03.2014 08:42
1. Указываете все места, где располагаются ваши аттестованные АРМ, на которых будете обрабатывать конфиденциальную информацию (для целей лицензионной деятельности по ТЗКИ) свою и заказчиков: обрабатывать предоставленную КИ, составлять протоколы проверок и т.п.

2. Помещение (не обязательно ЗП), в котором размещено защищаемое (в т.ч. аттестованное) АРМ. А проверка по тех каналам: ПЭМИН на провода, шины заземление и т.п.

Автор: Игорь | 51142 18.03.2014 08:54
В заявке на лицензию по ТЗКИ указываете:
1) Адреса мест осуществления лицензируемого вида деятельности - адреса и номера помещений, которые аттестованы для работы с "конфиденциалкой" (АС и ЗП);
2) "Помещения со средствами (системами) подлежащими защите" - это помещения, где установлены средства обработки конфиденциальной информации (АС). Идентично понятие "объект информатизации" - ОТСС, ВТСС и помещения, где они установлены

Автор: Денис Неонович, Химик | 51143 18.03.2014 09:00
Вопрос Yason-у:

Вот Вы указали:

1. Указываете все места, где располагаются ваши аттестованные АРМ, на которых будете обрабатывать конфиденциальную информацию (для целей лицензионной деятельности по ТЗКИ) свою и заказчиков: обрабатывать предоставленную КИ, составлять протоколы проверок и т.п.

Расширим вопрос:

Если не известны будущие партнёры и область предполагаемых оказания услуг, в таком случае что указывать??

Автор: Yason | 51145 18.03.2014 10:10
Партнер или заказчик - лица, где вы предполагаете организовать те самые защищённые места (аттестованные или защищаемые объекты информатизации, или просто где нужно соответствующее ПО поставить, настроить и т.п.) т.е. работы уже лицензиата по ТЗКИ.

Перед началом работ у вас всё равно должны иметься (хотябы по 1 в соответствии с лицензионными требованиями) ЗП с аттестованным АРМом на котором и предполагается разрабатывать/составлять/обрабатывать показания приборов, иную КИ и т.п. для заказчика.

Вот эти уже существующие ВАШИ аттестованные АРМ (места их расположения) и указывайте. А АРМ будущих парнёров указывать не нужно - это их техника.

По вопросу о создании и добавлении ваших новых аттестованых ОИ для работ по лицензионной деятельности ТЗКИ я не в курсе. Ведь места осуществлении деятельности в самой лицензии прописываются. Наверно нужно будет в ФСТЭК писать о переоформлении лицензии с соответствующими документами на новые места.

Автор: Денис Неонович, Химик | 51148 18.03.2014 11:10
Вопрос Yason-у:

Хорошо...Посмотрим как написано в заявлении:
"Адреса мест осуществления лицензируемого вида деятельности (указываются места осуществления лицензируемого вида деятельности)

а)контроль защищённости конфиденциальной информации от утечки по техническим каналам (по 79 постановлению) - это, что лицензируемый вид деятельности, правильно?

я приезжаю на объект к заказчику и чем там занимаюсь..??- лицензируемым видом деятельности (работы и услуги) по ТЗКИ

Дак где я осуществляю лицензируемый вид деятельности ТЗКИ??

Вооот, а в лицензии у меня нет ведь адреса где я провожу вышеуказанное.., а может это уже будет нарушение лицензии.

Вот и вопрос, что пишем в пункте заявления о предоставлении лицензии..



Автор: Игорь | 51153 18.03.2014 12:35
Можете себе голову не забивать - в заявке (и в лицензии соответственно) указывают только свои собственные аттестованные ОИ (их адрес и номера помещений). Достаточно по одному АРМ и ЗП.
Заказчиков у вас может быть тысяча, всех не перечислишь. У нас в лицензии на ТЗКИ указан только один адрес (одно помещение) и никаких вопросов у ФСТЭКа не возникало

Автор: Yason | 51158 18.03.2014 14:19
2 Денис Неонович, Химик

Вообще (как я понимаю), то обработка КИ заказчика у себя должна быть на аттестованных АРМ, а сбор информации у заказчика должен осуществляться с использованием комплексов (в т.ч. и с ноутбуком, но как в составе комплекса) для анализа к примеру ПЭМИН или тестирования на дыры АРМ или сети и т.п.

Применять "карманные" личные ноуты или обрабатывать (к примеру делать документы с КИ заказчика) у себя на не аттестованных АРМ нельзя.

Опять же повторюсь работать с КИ только на спец. комлексах или аттестованных АРМ (или АРМ при аттестации всей лок. сети или её сегмента).

Места расположения своих стационарных аттестованных АРМ и указываются.

К сожалению часто лицензиаты аттестуют 1 рабочее место, и часто на нем работает только 1 человек, или вообще АРМ "консервируют". При этом в конторе на правила работы с КИ заказчика забивают и обрабатывают её где, как и на чём хотят, естественно носят домой и т.д. и.т.п. Также можно сказать что своеобразных комплексов для анализа на объектах заказчика бывает сложно найти (или вообще не найти) в особенности по анализу сети или иного пентеста, тут конечно уже никуда не денешься :-(

Организациям которые просто продают, ставят и настраивают СЗИ заказчикам хватает конечно и законсервированного одного аттестованного АРМ с ЗП.

Мало кто указывая только 1 рабочее место для лицензии (которое указывается в лицензии) аттестую и все другие рабочие АРМ своих сотрудников для работы на них с КИ для деятельности по ТЗКИ.

Как то так :-)

Прошло несколько недель

Автор: Денис Неонович,, Химик | 51463 09.04.2014 16:05
Вопрос адресован для тех, кто получал лицензию в 2012году, после выхода 79 постановления.

В перечне технических документов к 79 постановлению, есть пункт 27 : " Сборник методических документов по тзи.....в волоконно-оптических системах передачи. ФСТЭК 15.03.2012 № 27дсп.

Как выходили из ситуации при подаче вида работ на букву "а"? Сам документ и его получение думаю решимая проблема, а оборудование? Где его брать и какое оно, требований то нет в перечне оборудования?
Кто сталкивался, поясните данный вопрос.

Автор: Игорь | 51464 09.04.2014 16:34
Приказ № 27дсп заказывается во ФСТЭКе.
В перечне оборудования по ПП79 - это п.п.14 и 15 (оптические тестеры и рефлектометры).
Мы тоже не имеем такого оборудования (нет необходимости в таких работах), а в заявке на лицензию указали всё имеющееся у нас оборудование, кроме выше указанного. Пока вопросов из ФСТЭКа не поступало, ждем лицензию уже третий месяц. Посмотрим что ответят
Как вариант, можно попробовать в заявке указать в планируемых видах лицензируемой деятельности по п. а) контроль защищенности конф. информации от утечки по техническим каналам, за исключением утечки в волоконно-оптических системах передачи

Автор: Денис Неонович, Химик | 51467 10.04.2014 09:11
Игорь, а почему так долго ходит у Вас лицензия?? Вроде по регламенту не более 30 дней.

Да и ГОСТы все покупали: ГОСТ РО - 0043.03-2012, ГОСТ РО- 0043.04-2012.
Требования к системам обнаружения . Приказ ФСТЭК от 6.12.2011 №638???

Автор: Игорь | 51468 10.04.2014 09:29
"а почему так долго ходит у Вас лицензия?? Вроде по регламенту не более 30 дней"
Мы постоянно звонили во ФСТЭК, они объясняют это тем, что очень много заявок на лицензирование по конфиденциалке и большая очередь. Поэтому ждать своей приходится несколько месяцев.
А все перечисленные НМД (ДСП-шные) мы заказали и закупили (ГОСТы в "Электронстандарте" в Питере, приказы заказывали в ФСТЭК, в т.ч № 638)

Автор: Денис Неонович, Химик | 51470 10.04.2014 09:49
Игорь, а почему так долго ходит у Вас лицензия?? Вроде по регламенту не более 30 дней.

Да и ГОСТы все покупали: ГОСТ РО - 0043.03-2012, ГОСТ РО- 0043.04-2012.
Требования к системам обнаружения . Приказ ФСТЭК от 6.12.2011 №638???

Автор: Игорь | 51473 10.04.2014 11:58
"а почему так долго ходит у Вас лицензия?? Вроде по регламенту не более 30 дней"

Мы постоянно звонили во ФСТЭК, они объясняют это тем, что очень много заявок на лицензирование по конфиденциалке и большая очередь. Поэтому ждать своей приходится несколько месяцев.
А все перечисленные НМД (ДСП-шные) мы заказали и закупили (ГОСТы в "Электронстандарте" в Питере, приказы заказывали в ФСТЭК, в т.ч № 638)

Автор: staradm, СЗИ | 51484 11.04.2014 11:52
А не подскажите координаты "Электронстандарта" в Питере?
Заранее спасибо!

Автор: staradm, СЗИ | 51487 11.04.2014 14:21
СПАСИБО!

Автор: Тимашев Вячеслав, ЗАО "Форт Диалог" | 51541 15.04.2014 17:27
Спасибо!

Прошло около недели

Автор: Денис Неонович, Химик | 51703 23.04.2014 10:37
Доброго дня уважаемые!

Кто нибудь указывал в документах на получение лицензии по ТЗКИ тестовые программы (создающие тест сигнал - пример в ПЭМИН), для которых не задумано лицензирование.

P.S. Может кто поделиться ссылками на програмки для создание тест сигналов:
- клава;
- диски;
- порты;
- принтер (копир).

Заранее спасибо!

Автор: Игорь | 51704 23.04.2014 11:37
Если не будете лицензироваться по контролю от утечки по техническим каналам, то зачем указывать?
А так - стандартный "Сборник тестовых программ" (ЗАО "ЦБИ-Сервис")

Автор: Денис Неонович, Химик | 51708 23.04.2014 14:06
Игорь | 51704

Игорь, вопрос состоит в том что - указывать их в перечень или нет (при подаче на лицензию по ТЗКИ), так как у меня есть из других источников ??

..., за стандартный набор платить надо... в документах и требованиях ни каких нет конкретных указаний по данному софту.


Автор: Игорь | 51709 23.04.2014 15:17
В заявке на лицензию по ТЗКИ нужно не просто перечислить имеющееся у вас оборудование и софт, но и предоставить копии документов, подтверждающих нахождение всего этого у вас на законных основаниях.
Это должны быть, как правило, копии бухгалтерских документов о приобретении того или иного оборудования или ПО, лицензий на право использования ПО или, если у вас к примеру нет на праве собственности какого-то оборудования, нужно предоставить копию договора аренды оборудования с владельцем (у которого оно имеется)

Автор: Лебедев Альберт, ООО Инфомаксимум | 51742 25.04.2014 15:46
Доброго времени суток!

Подскажите ответ на такой опрос: Зачем системе мониторинга рабочего времени сотрудников за компьютером нужен сертификат ФСТЭК? Система CrocoTime, собирает информацию о пользователе ПК, на какие сайты заходил и какими программами пользовался. Скиншоты не делает, переписку не перехватывает!

Автор: Игорь | 51743 25.04.2014 16:16
А кто сказал, что он нужен?

Автор: Лебедев Альберт, ООО Инфомаксимум | 51744 25.04.2014 16:22
ФГУП "Атомфлот"

Автор: Игорь | 51745 25.04.2014 16:26
Насколько я понимаю, судя по описанию данной системы (сталкиваться не приходилось), она не является средством защиты информации. И сертификация ей по требованиям безопасности информации (ФСТЭК) не нужна

Автор: Alex_kl | 51746 25.04.2014 16:45
Но с другой стороны Заказчик может предъявить любые, не противоречащие законодательству, требования приобретаемым продуктам. Тем более, что ПО в какой-то степени - "шпионское". И насколько оно делает только то, что заявлено и не больше - без сертификации никто помимо разработчика не сможет подтвердить.

Автор: Лебедев Альберт, ООО Инфомаксимум | 51747 25.04.2014 16:49
Так понимаю, что необходимо сделать сертификат ФСТЭК, подтверждающий заявленные характеристики продукта? А кто в этом может помочь? Куда обращаться? Ведь ПО не защищает информацию! Значит нужно подтвердить, что оно ещё не "крадёт"?

Автор: Лебедев Альберт, ООО Инфомаксимум | 51748 25.04.2014 16:49
Так понимаю, что необходимо сделать сертификат ФСТЭК, подтверждающий заявленные характеристики продукта? А кто в этом может помочь? Куда обращаться? Ведь ПО не защищает информацию! Значит нужно подтвердить, что оно ещё не "крадёт"?

Автор: Лебедев Альберт, ООО Инфомаксимум | 51749 25.04.2014 16:49
Так понимаю, что необходимо сделать сертификат ФСТЭК, подтверждающий заявленные характеристики продукта? А кто в этом может помочь? Куда обращаться? Ведь ПО не защищает информацию! Значит нужно подтвердить, что оно ещё не "крадёт"?

Автор: Игорь | 51750 25.04.2014 16:54
В таком случае Заказчик должен определить - на что сертифицировать данное ПО? По контролю отсутствия недекларированных возможностей в ПО, защищенности СВТ от НСД или чему?
Кстати, для разработчика ПО, если он подаст заявку на сертификацию, ФСТЭК скорее всего потребует ещё и получить лицензию на разработку средств защиты конфиденциальной информации. В этой ветке форума подобная проблема уже обсуждалась

Автор: Лебедев Альберт, ООО Инфомаксимум | 51752 25.04.2014 17:27
Благодарю за помощь.

Итог: Необходимо уточнять у заказчика на что сертифицировать продукт, после чего обращаться в аккредитованный орган.

Автор: Денис Неонович, Химик | 51758 28.04.2014 10:23
Благодарю: Piligrim16, ООО СКБ "АНКЛАВ" | 51754, за очень дельную ссылку!!
Хоть большинство вопросов - ответов было "озвучено" на форуме в разных темах, но тем не менее информация полезная и собрана в одном документе!

Автор: Денис Неонович, Химик | 51768 29.04.2014 15:26
Доброго дня!

Игорь - у нас все вопросы и ответы имеют субъективный характер...никто не может на 100% выразить их точно, так как их поймёт точно так же другой человек.

Про ДСП документы хотел спросить. На первом листе ГОСТ-а ставится или нет рег. номер от исходящей организации?
Или кто нить скиньте 1 лист любого 1 ГОСТ-а ДСП на "neond77@inbox.ru", чтобы "сломанного телефона" не получилось.

Заранее благодарю!

Автор: Игорь | 51769 29.04.2014 16:04
Денис Неонович, Химик | 51768

Мы заказывали дсп-шные ГОСТы в ОАО РНИИ "Электронстандарт". На первом листе проставлен инв. № и номер экз. (типографские), а от руки написан инвентарный номер (дсп) и дата. Скорее всего этот номер поставлен организацией, отправлявшей документ. Других регистрационных номеров нет

Автор: Gosha | 51772 30.04.2014 09:24
По поводу документов ДСП. Сейчас оформляем продление лицензии по ТЗКИ. Единственное замечение было - прислать копии платёжек за эти документы. Хотя раньше прокатывали сканы первых листов. Пришлось порядком повозиться, ведь купили некоторые больше 6 лет назад и естественно концы платёжек найти было почти нереально. Не понятно где искать их надо было - толи у юристов, толи в бухгалтерии, а то и вообще бесполезно. Могли по правилам просто уничтожить или сдать в архив. Чудом нашли. Так что берегите эти документы, держите у себя и снимайте сразу копии со всего что имеет отношение к лицензированию.

Прошла пара месяцев

Автор: Vladimir | 52603 08.07.2014 15:59
Уважаемы форумчане, подскажите,чем можно подтвердить наличие в собственности предприятия измерительного оборудования, купленного 10-20 лет назад?
Предприятие уже несколько раз переименовывалось и меняло собственника 1 раз.

Будет ли документ: Свидетельство о поверке средств измерений, подтверждением, того что оборудование является в собственности такой то организации ( на бланке написано - принадлежит:."название организации" ).

Автор: Горшок | 52607 08.07.2014 16:41
Vladimir
На счет первого вопроса сложно сказать. Возможно стоит попробовать продать кому-то оборудование и потом снова его выкупить, вот эти доки покупки и предоставите при лицензировании.
По второму вопросу, думаю, поверка не будет являться таким подтверждением. Да, там написана принадлежность, но эта принадлежность в свою очередь никак не подтверждается органу по поверке (они этого и не требуют) и получается этот орган пишет вас как собственника, только веря вам на слово

Автор: ОАО | 52615 08.07.2014 19:02
Подтверждением, того что оборудование является собственностью организации может явиться выписка из реестра основных средств за подписью главного бухгалтера.

Прошла пара месяцев

Автор: Денис Неонович, Химик | 53134 21.08.2014 15:59
Уважаевые, реально ли дозвониться до " Информационной службы ФСТЭК", чтоб получить инф-ю о стадии работ над заявлением о получении лицензии по ТЗКИ ??

Всю неделю звоню, то занятно , а то никто трубку не берёт или лучше через дежурного попробовать набрать??

Автор: Юлия | 53140 22.08.2014 06:13
Денис Неонович. Дозвониться реально. я звонила в основном через дежурного. пока не узнала номер того кто вел мою лицензию.
отдел лицензирования: 84956321448;
дежурный ФСТЭК: 84956936870.
правда все номера на момент 2012 - 2013 года.

Автор: Практик | 53142 22.08.2014 08:40
8495 632-14-48
8495 693-68-71

После пятого гудка включается "автопосылатель", но людей застать иногда удается

Автор: Денис Неонович, Химик | 53144 22.08.2014 09:15
Даа, ещё вопрос... Кто нибудь пробовал на почту с таким же вопросом обращаться как в регламенте №83, пункт 1.7 - postin@fstec.ru?
Может с этой стороны подойти к вопросу получения информации о процессе...?

Прошло несколько недель

Автор: Кирилл | 53582 17.09.2014 15:13
Добрый день,уважаемые форумчане, возникла необходимость получение лицензии ФСТЭК по ТЗКИ, с вектором работ мы определились, после чего я составил список необходимой тех документации, стандартов и прочее.
Часть, те что ДСП, заказываем из ФСТЭК, часть нормативки, сказали, что можно получить через Гарант, а вот по поводу ГОСТов и прочих СанПиН, сказали, что нужно покупать в ФГУП Стандартинформ.
Зарегистрировался я и посмотрел на цены, от 600 до 2.5тр за один документ как мне показалось, это слишком дорого, так как за 68 штук придется отдать 50-100тр.
Если есть какая-нибудь информация по покупке Гостов открытого доступа, поделитесь,пожалуйста.

Автор: simm | 53583 17.09.2014 15:38
в свое время закупались в компании "Технорматив" подешевле стандарт информа. к примеру - Информационная технология (ГОСТы 34 серии) 413 документов 5 850,00 руб.

Автор: Юлия | 53585 17.09.2014 15:57
Добрый день!

Интересует вопрос аренды КИО, при появлении бессрочных лицензий, возможна ли аренда КИО? Пропускают ли ФСТЭК с договором аренды КИО? Где можно арендовать? Компании по запросу в интернете - говорят, что в аренду не предоставляют..

Автор: Кирилл | 53586 17.09.2014 16:06
Я звонил ФСТЭК,и некий Николай Дмитриевич,подтвердил, что аренда оборудования возможно. Вам будут необходимы следующие документы: договор аренды КИО(желательно бессрочный,он так сказал), документы подтверждающие принадлежность оборудования арендодателю (балансовые документы, накладные,платежки и тд и тп)

Автор: Юлия | 53591 17.09.2014 16:09
Кирилл,

вот только организации не хотят никак давать в аренду КИО))
И уж бессрочный договор аренды сомневаюсь, что кто-то готов предоставить..(

Автор: Кирилл | 53593 17.09.2014 16:28
Такая же ситуация(
А с тех документацией как разобрались?

Автор: Юлия | 53594 17.09.2014 16:35
Так там немного вроде ДСП документов, ДСП заказывали в Рособоронстандарте, а остальное всё договор с Консультант+ на необходимые базы документов.

Автор: Кирилл | 53595 17.09.2014 16:40
А ГОСТов и СанПин у вас не было?

Автор: Юлия | 53596 17.09.2014 16:49
СанПин есть в версии проф консультанта, госты многие тоже там есть, госты дсп - только заказывать. Которые нужно было - все были, сейчас новые виды работ, по ним ещё не смотрела по НМД. Пока думаю, что с КИО делать

Автор: Денис Неонович, химик | 53636 22.09.2014 11:25
Доброго дня коллеги - нас можно поздравить с получением лицензии!

Кирилл - Вы невнимательно читали 79 документ, так как большинство документов там открытые и в официальные органы будет достаточно предоставить договор с Консультант+ или Гарант.

Если будете заказывать ДСП документы ( а Вы будете), то заказывайте их за 6 месяцев до подачи на лицензию или ещё раньше ( большое кол-во желающих).


Юлия - с оборудование большой напряг может быть, потому как из-за большого наплыва желающих получить лицензию по ТЗКИ сейчас много желающих взять КИО в аренду. Но большие братья не спят и следят, чтобы одни и те же приборы не попали у разных заявителей, ну и из-за сугубо личного отношения.

З.Ы. у нас оборудование своё, не самое крутое, но проходящее по требования по получению лицензии.

УЧАДИ ВСЕМ!


Автор: Кирилл | 53637 22.09.2014 11:37
"а вот по поводу ГОСТов и прочих СанПиН, сказали, что нужно покупать в ФГУП Стандартинформ."
Проблема,в том, что наша контора использует Гарант,а в его базе ГОСТов нет,в отличии от того же Консультанта. А значит, как мне сказали в Нижнем Новгороде, их надо покупать в "Федеральном агентстве по техническому регулированию и метрологии".
Причем такая блажь только в НН, я звонил в московский центральный аппарат, и меня там подняли на смех, сказали, что хоть на балванку закатайте скачанные хз откуда госты, им пофиг.

Автор: Юлия | 53639 22.09.2014 11:38
Денис Неонович,

дорого КИО Вам обошлось?

Автор: Денис Неонович, Химик | 53641 22.09.2014 15:07
Кирилл - какой то у Вас странный "Гарант". Ну как вариант, по перечню выкачиваете из Инета открытые документы, регистрируете у себя и потом прикладываете первые листы пронумерованные. (пуст поправят если я ошибся).

В Стандартинформ с Вас потребуют нотариально заверенную копию лицензии на работу с гостайной. ( что для нас было вообще не понятно). В Рособоронстандарте - очень долго, как я сказал выше 6 месяцев и более, так что просчитывайте заранее.

Для Юлии:
В течении 3 лет потратили около пол. миллиона (если не больше), с учётом, что у нас уже было немного оборудования. ( с учётом аттестации 1 АРМ и 1 ЗП).
.. и оборудование продолжает ещё рости в цене как на дрожах.

Автор: Денис Неонович, Химик | 53642 22.09.2014 15:16
Вопрос к знающим:

На Гос. тайну, при наличии лицензии на проведение работ, должен быть ещё Аттестат аккредитации органа по аттестации.

ВОПРОС: необходимо ли иметь данный Аттестат при ТЗКИ?
Где о данном вопросе написано?

Благодарю за содействие!

Автор: Юлия | 53643 22.09.2014 15:23
Денис Неонович,

1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.

Положение
по аттестации объектов информатизации по требованиям безопасности информации
Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.


1.8. Аттестация проводится органом по аттестации в установленном настоящим Положением порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ...

На сколько я понимаю, нет необходимости иметь такой аттестат аккредитации, если не аттестовать на гос.тайну.

Автор: Некто | 53644 22.09.2014 17:21
Денис Неонович,ответ - нет.
Смотрите форум - пережевано много раз.

Прошло несколько недель

Автор: Ujin, ООО "Скайнетворк" | 54037 16.10.2014 17:34
Денис Неонович,
Во-первых, поздравляю вас с получением лицензии ФСТЭК. Мы также имеем частичную лицензию ФСТЭК. Теперь хотим получить полную лицензию на ТЗКИ. Хочу узнать минимальный состав КИО для получения лицензии, т.к. сумма, которую вы озвучили вполне приемлема. Я обращался ко многим специалистам и всегда состав КИО оказывался разным и суммы зашкаливали за 1 200 000 руб.

Автор: Piligrim16, ООО СКБ АНКЛАВ | 54038 16.10.2014 17:48
Ujin, дешевле не получится.
Перечень УТВЕРЖДЕН директором ФСТЭК России 3 апреля 2012 г.
------------------------------------------------------------------------------------------
Перечень
контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности
по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации
от 3 февраля 2012 г. № 79
-------------------------------------------------------------------------------------------

Автор: sekira | 54043 17.10.2014 15:41
1 200 000
Откуда такая цифра? Можно попунктно? По моим подсчетам 300 - 500 тысяч достаточно (без оптики).

Автор: Денис Неонович, химик | 54066 20.10.2014 16:25
И так по перечню оборудования, имеющегося в наличии:
- ген Г4 несколько штук;
- ген белого шума;
- шумометр svan 912;
- виброметр - экофизика;
- Мультиметры цифровой+стрелочный;
- нановольтметр Unipan;
- спектроанализатор R&S;
- набор антенн;
- осциллограф.


Автор: sekira | 54085 20.10.2014 21:08
трекинг-генератор USB-TG44A и анализатор спектра USB-SA44B
АИ 5-1
АИР 3-2
шумомер +виброметр - экофизика
генератор белого шума любой от СЗИ АВАК
Итого минус 500-800 тышь.

Прошло несколько месяцев

Автор: Anti | 55594 03.02.2015 15:20
Sekira, просветите, в приведенном вами списке что отвечает за акустоэлектрику

Автор: sekira | 55595 03.02.2015 15:44
анализатор спектра USB-SA44Bно к нему нужен измерительный усилитель что бы входное сопротивление поднять.
лучше поискать Unipan

Автор: Anti | 55598 03.02.2015 16:13
Типа Unipan 233?
Подскажите еще такой момент, для ПЭМИН нужны токосъемник (ТИ 2-3) и пробник напряжения (Шмель)?

Автор: Евгений, ОАО "Три дровосека" | 55658 06.02.2015 09:13
А "шмель" напрямую цепляется к унипану или есть нюансы?

Автор: sekira | 55660 06.02.2015 09:36
Надо переходник с СР разъема.

Автор: Anti | 55665 06.02.2015 12:12
Как вам вот такой перечень (без оптики)?
1) Многофункциональный анализатор низкочастотных сигналов СКМ-21(который 21.1+21.2)
2) Дистанционно управляемый генератор тестовых акустических сигналов СМАРТ-ГШ1
3) Трекинг генератор USB-TG44A
4) Анализатор спектра USB-SA44B
5) Антенна дипольная активная АИ 5-0, 0,009…2000 МГц
6) Антенна рамочная активная АИР 3-2, 0,009…30 МГц
7) Токосъемник ТИ 2-3, Токосъемник, 0,009…300 МГц
8) Пробник напряжения пассивный, Шмель 9кГц - 300мГц
9) АКИП-4122/1V - осциллограф

Автор: Anti | 55720 09.02.2015 16:46
оказывается USB-TG44A нет в госреестре. Хотя тов. sekira рассматривает его как бюджетный вариант для лицензии тзки. Как так?

Прошло несколько месяцев

Автор: Hamm3rMan, КлацКлац | 60420 28.12.2015 09:39
Кто пользуется данными приборами,

3) Трекинг генератор USB-TG44A
4) Анализатор спектра USB-SA44B

как они Вам в деле?

Автор: sekira | 60426 28.12.2015 15:11
Не фонтан но на объекте работать вполне можно.

Прошло несколько месяцев

Автор: Евгений | 64837 05.08.2016 13:59
Коллеги, кто нибудь получал лицензию на ТКЗИ на проведение аттестации без наличия оптического тестера и рефлектометра?
Или наличие этого оборудования строго обязательно, если даже не будешь проводить работы с ВОЛС?

Автор: Chechaco, MASCOM | 64857 07.08.2016 22:09
Совершенно не собирался встревать в дискуссию.... Честно говоря, лично мне это малоинтересно.
Но просмотрев посты невольно вспомнил старенький анекдот "Вам шашечки или ехать?... Так и тут. "Быстро и недорого" - это главное! Причём важнее второе, как я понимаю. Бедные владельцы ОИ, им точно нааттестуют ! Такого, что потом мало не покажется никому.. И опять же, вспоминается классика: "Сапожник, суди не выше сапога!" Сильно сомневаюсь, чтобы представители таких "аттестаторов" вспомнили, откуда сия строка.
А ведь ещё не столь давно звание инженера значило многое. В том числе и многое, напрямую к профессии не относящееся. Но формирующее мировоззрение, отношение к жизни и работе.
Куда, куда вы удалились, весны моей златые дни...
Чёрт возьми, люди, вы подумайте о том, что ваших детей учить будут такие же "лицензиаты"! (быстро и недорого!") И лечить вас будут такие же врачи. А кормить такие же повара и т. д. и т. п. Вам не стыдно???
Лично мне - очень. За вас...Ещё цитата, откуда - не важно, не столь уж давнее произведение...
"Века не стирают позор нации!"
А это именно позор!!!
Чак

Прошла пара лет

Автор: Никита, Завод | 94186 04.06.2018 09:34
Добрый день!
Подскажите пожалуйста, при получении лицензии требование к стажу работы считается общий по ТЗКИ, или отдельно по каждому виду деятельности?
Особенно интересует вопрос с мониторингом ИБ, который стал лицензируемым только 2 года назад.
Как вообще проходит проверка стажа работы, изучают должностные инструкции?

Автор: Константин | 94200 04.06.2018 12:56
2 Никита

Если не ошибаюсь, считается общий стаж работы в лицензиате ТЗКИ.

Отдельно по каждому виду деятельности считают в ФСБ в лицензии на крипту, ФСТЭК таким не занимается.

Вроде как хватает записи в трудовой.

Прошло около недели

Автор: Никита, Завод | 94678 13.06.2018 11:15
Спасибо! Появился еще один вопрос, подскажите пример ПО, необходимого для получения лицензии на мониторинг ИБ:
"Средства управления информацией об угрозах безопасности информации"

Прошло несколько месяцев

Автор: Тимур, УЦ | 106091 27.03.2019 12:56
Коллеги, получал ли кто-либо успешно лицензию по ТЗКИ без железных нановольтметра и микровольтметра Unipan или B6-9, а с комплектом "Экофизика Тишина"?

Прошла пара месяцев

Автор: Юлия | 106634 04.06.2019 17:32
Добрый день! Подскажите, можно-ли при получении лицензии на ТЗКИ часть позиций представленных в Перечне ФСТЭК от 19.03.2017 закрыть импортным (китайским) оборудованием, если в списке ФСТЭК явно не говорится о необходимости наличия у него сертификатов? (Например осцилографы).

Автор: Alex_kl | 106636 05.06.2019 08:46
Юлия, импортным - точно. По крайней мере практически у всех приемники - именно импортные (Родешварц или Агилент).

Автор: Юлия | 106640 05.06.2019 22:22
Alex_kl, спасибо!

Прошло несколько месяцев

Автор: Игорь | 107304 02.10.2019 09:50
Всем привет, задался вопросам, а нужна ли поверка осциллографа для лицензирования ТЗКИ? Как думаете?

Автор: sekira | 107307 02.10.2019 11:04
А что измерять им собрались? По содержанию методики не нужно...

Автор: WORM, MK | 107309 02.10.2019 15:23
> а нужна ли поверка осциллографа

Если убедите ФСТЭК (а конкретно Елену Николаевну), что осциллограф это не средство измерений - то не нужна.

Прошла пара месяцев

Автор: Роман, Рога и копыта | 107618 04.12.2019 10:50
Коллеги подскажите))))))))

Селективные микровольтметры и нановольтметры чем можно заменить? Кто то писал в этой же ветке ранее, что комплекс "Гриф-АЭ-1001" решает это, верно ли?))) или какие не дорогие модели посоветуете?

Оборудования для контроля АЭП (НЧ и ВЧ) и Оборудования для контроля ВЧН/ВЧО- что это???

Просмотров темы: 199050


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100