Сертификация эл.информационных систем. ФСТЭК

  • Автор темы Ferz
  • Дата начала
Ferz

Ferz

Участник
Регистрация
03.02.2007
Сообщения
8 779
Реакции
24
Баллы
38
К 1 января 2010 года, каждая компания, оперирующая персональными данными должна реализовать мероприятия по их защите в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
В соответствие требованиям ФЗ № 152 должны быть приведены как новые, так и уже существующие информационные системы, обрабатывающие персональные данные.
Приведение информационных систем в соответствие требованиям закона осуществляется на основании нормативно-методических документов регулирующих органов:
ФСТЭК России ФСБ России МИНКОМСВЯЗЬ России РОСКОМНАДЗОР

Гражданская, уголовная, административная, дисциплинарная и иная ответственность предусмотрена за нарушение требований по защите персональных данных и может применяться к руководителю организации, подразделения или виновному в разглашении работнику. Исправительные работы на срок до 1 года или лишение свободы на срок до 2-х лет могут стать наказанием за нарушения № 152-ФЗ.


Вот недавно озадачился данным вопросом. Наша контора входи в список очереди проверок на 2010 год. http://www.rsoc.ru/plan-and-reports/contolplan/

Кто-нибудь сталкивался уже с данной проблемой? И как ее решал.

Изучение вопроса показало, что это очередное отнимание денег у Российских компаний, потому как все сводится к тому, что сначала покупаем комп с лицензионной виндой, потом на эту винду покупаем сертификат за 800р, а потом лицензию на сертификат за 550р. И это если на компе не будет МС офиса, sql и чего либо еще. Вообще список очень большой и линуха туда тоже входят. Причем дрючит за отсутствие данных сертификатов будут нехило. По Саратову знаю пока 1 контору, которая вызвалась помочь.
Хотелось бы услышать мнения, подсказки, пояснения других "пострадавших".
 
R

Romario

Новичок
Регистрация
01.03.2007
Сообщения
1 900
Реакции
1
Баллы
0
я сам начинаю заниматься сертификацией, сертифициреуется ИСПДн(информационная система персональных данных) по Критериие оценки безопасности информационных технологий(Общие критерии), это нужно для того чтобы информационные системы были защищены по общим мировым стандартам, и собственно для повышения самой безопасности. А то сами наверно замечали как у нас много МВД баз и баз операторов связи и еще много какой информации можно надыбать на горбушке....
 
OP
Ferz

Ferz

Участник
Регистрация
03.02.2007
Сообщения
8 779
Реакции
24
Баллы
38
собственно для повышения самой безопасности
Я вот только не пойму, на кой леший для этого сертифицировать винду, офис и прочее?
И более того, за каждую бумажку для каждого компа при этом отстегивать от 1300р.!
А сертифицируете ли вы ОСи рабочих станций?
 
Zonner

Zonner

Новичок
Регистрация
10.10.2007
Сообщения
2 415
Реакции
1
Баллы
0
Ты классификацию то читал? там все в принципе расписано, что сертифицировать а что нет. (категории)
 
R

Romario

Новичок
Регистрация
01.03.2007
Сообщения
1 900
Реакции
1
Баллы
0
если кто заинтересуется, моя фирма занимается сертификацией по требованиям ФСТЭК. Обращаться в личку.
 
Andrey Ford

Andrey Ford

Активный участник
Регистрация
05.11.2007
Сообщения
32 823
Реакции
318
Баллы
83
ну если верно,нашей конторы там нет,уф
если конечно это верная инфа,там что то Саратовской области вообще мало

по хорошему. эту тему лучше объединить с моей http://www.autosaratov.ru/phorum/showthread.php?t=82799
модераторы,может рассмотрите мое предложение?
 
A

ArtemSaratov

Активный участник
Регистрация
16.08.2004
Сообщения
12 563
Реакции
420
Баллы
83
Сейчас кто-то ФСТЭКами занимается?

Интересует общефилосовский вопрос - заказчика сказал "хочу софт ХХ ФСТЭК", пока договор, пока туда-сюда, производство софта ХХ свёрнуто, вместо него развёрнуто ХХ+1, а на него сертификата нет. Как выходят из таких ситуаций??

Конкретный пример - хочу винду ФСТЭК.
ФСТЭК есть на вин 7, а ее уже не продают. Продают вин10.
Нет, плохой пример. Сейчас расскажете про даунгреды. :)

Например "хочу акронис". ФСТЭК есть на 11.5 версию, а продают 12.5
 
external

external

Активный участник
Регистрация
26.05.2014
Сообщения
3 504
Реакции
893
Баллы
113
заказчика сказал "хочу софт ХХ ФСТЭК",

Заказчик точно понимает, что он хочет?
В любом случае, у сертификатов есть срок действия, и через 5 лет он станет недействителен.
Соответственно, очень хорошо, если разработчик по захочет заниматься продлением срока сертификата,
а если нет - то это проблемы заказчика.

Windows 10 не прошла и не пройдет сертификацию.
Варианты - либо 8.1, либо сертифицированный linux. Но чтобы он оставался сертифицированным, нужно будет каждый год покупать поддержку 1тыс/рабочее место, 5тыс/сервер.

Никто по доброй воле такое сам не захочет, только если действительно требуется.При этом берут то, что имеет действующие сертификаты, а не то, что хочется.
Реестр сертификатов есть на сайте фстэк.

И еще , на предпринимательскую деятельность по защите информации, фстэк требует получать лицензию.
 
external

external

Активный участник
Регистрация
26.05.2014
Сообщения
3 504
Реакции
893
Баллы
113
https://blog.zlonov.ru/better-fstec-registry/

Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки.
 
A

ArtemSaratov

Активный участник
Регистрация
16.08.2004
Сообщения
12 563
Реакции
420
Баллы
83
Заказчик точно понимает, что он хочет?
Да, понимает.
Требования письменно изложены, кучей печатей оштампованы.

В любом случае, у сертификатов есть срок действия, и через 5 лет он станет недействителен.
Ну, это уже проблемы Заказчика ведь. :)


Windows 10 не прошла и не пройдет сертификацию.
Заказчик написал в опросных листах ".....должна быть установлена операционная система Microsoft Windows последней редакции на момент отгрузки оборудования, сертификат ФСТЭК..."
Ну и аналогично по другим программным продуктам.

Т.о. если даже оба требования принять, как систему условий - т.е. "последняя версия из имеющих ФСТЭК", то всё равно пазл не собирается.
К примеру "последний" Акронис - это 12,5. "последний Акронис ФСТЭК" - это 11,5. Но 11,5 - никто не продаёт. Сам Акронис не продают. Пакет сертификации - пожалуйста.
У меня такое первый раз, интересно как другие выходят из подобных перипетий. Проблема-то не вчера придумана. Как-то люди ее решали.

Но чтобы он оставался сертифицированным, нужно будет каждый год покупать поддержку 1тыс/рабочее место, 5тыс/сервер

Гарантия на наши изделия 3 или 5 лет - точно не помню. Обычно проблем нет сразу купить на 5 лет пакеты продления лицензий. А дальше заказчик как хочет сам.
 
external

external

Активный участник
Регистрация
26.05.2014
Сообщения
3 504
Реакции
893
Баллы
113
Обычно проблем нет сразу купить на 5 лет пакеты продления лицензий. А дальше заказчик как хочет сам.

https://lukatsky.blogspot.com/2019/04/blog-post_3.html

Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено"
 
A

ArtemSaratov

Активный участник
Регистрация
16.08.2004
Сообщения
12 563
Реакции
420
Баллы
83
https://lukatsky.blogspot.com/2019/04/blog-post_3.html
ействие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено"

Мммммм..
Немного не понял - и что в этом такого?

Вам жена сказала "купи ящик мороженого". Если вы купили 1 пачку - вы плохой муж. Если вы купили ящик - вы хороший муж.
И не важно, прокисло у нее молоко через неделю или нет.

Так же и тут.
Заказчик обычно говорит "хочу ПО такое-то, срок лицензии - не менее 3 лет". Проверяет при получении - то ли ПО вы поставили, грубо говоря 3 диска Касперского или только 2.
И проверяет срок - на год лицензия или на 3.
И всё - условия договора исполнены. Что заказчик оплатил, то и получил. Прокиснет ли молоко через неделю - это проблема Заказчика и его холодильника.

Вообще, прикольная тема. Купили вы машину Евро-2, а потом государство придумало Евро-4.
И вы, как заказчик, пошли требовать дооснастить машину под новые требования. :) :)
 
external

external

Активный участник
Регистрация
26.05.2014
Сообщения
3 504
Реакции
893
Баллы
113
Это был комментарий про закупку устаревшего сертифицированного ПО. Имеется вероятность приостановки сертификата на него. Для заказчика это приведет к необходимости закупки другого ПО.

А смысл всей статьи был такой:

коммерческим компаниям надо прекратить заморачиваться вопросом с сертификацией по требованиям безопасности (на безопасность это не влияет никак, а ограничивает очень сильно), а государственным органам можно только посочувствовать - возможности выбора ими средств защиты станут проще (продуктов останется совсем мало),
 
A

ArtemSaratov

Активный участник
Регистрация
16.08.2004
Сообщения
12 563
Реакции
420
Баллы
83
Для заказчика это приведет к необходимости закупки другого ПО.
Ну, любой человек знает о том, что сегодня покупаешь 10ый айфон, а завтра он становится "тыквой". :)


коммерческим компаниям надо прекратить заморачиваться вопросом с сертификацией по требованиям безопасности
Ха! Блажен, кто верует.
Мы - коммерческая организация. Но если сейчас послушаем этого человека и "прекратим" заворачиваться - то значит не исполним прямые требования контракта. И значит - суды и прочие издержки.
 
Верх Низ