Сертификация эл.информационных систем. ФСТЭК

[Ferz]

К 1 января 2010 года, каждая компания, оперирующая персональными данными должна реализовать мероприятия по их защите в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
В соответствие требованиям ФЗ № 152 должны быть приведены как новые, так и уже существующие информационные системы, обрабатывающие персональные данные.
Приведение информационных систем в соответствие требованиям закона осуществляется на основании нормативно-методических документов регулирующих органов:
ФСТЭК России ФСБ России МИНКОМСВЯЗЬ России РОСКОМНАДЗОР

Гражданская, уголовная, административная, дисциплинарная и иная ответственность предусмотрена за нарушение требований по защите персональных данных и может применяться к руководителю организации, подразделения или виновному в разглашении работнику. Исправительные работы на срок до 1 года или лишение свободы на срок до 2-х лет могут стать наказанием за нарушения № 152-ФЗ.


Вот недавно озадачился данным вопросом. Наша контора входи в список очереди проверок на 2010 год. http://www.rsoc.ru/plan-and-reports/contolplan/

Кто-нибудь сталкивался уже с данной проблемой? И как ее решал.

Изучение вопроса показало, что это очередное отнимание денег у Российских компаний, потому как все сводится к тому, что сначала покупаем комп с лицензионной виндой, потом на эту винду покупаем сертификат за 800р, а потом лицензию на сертификат за 550р. И это если на компе не будет МС офиса, sql и чего либо еще. Вообще список очень большой и линуха туда тоже входят. Причем дрючит за отсутствие данных сертификатов будут нехило. По Саратову знаю пока 1 контору, которая вызвалась помочь.
Хотелось бы услышать мнения, подсказки, пояснения других "пострадавших".

 

[Romario]

я сам начинаю заниматься сертификацией, сертифициреуется ИСПДн(информационная система персональных данных) по Критериие оценки безопасности информационных технологий(Общие критерии), это нужно для того чтобы информационные системы были защищены по общим мировым стандартам, и собственно для повышения самой безопасности. А то сами наверно замечали как у нас много МВД баз и баз операторов связи и еще много какой информации можно надыбать на горбушке....

 

[Ferz]

собственно для повышения самой безопасности

Я вот только не пойму, на кой леший для этого сертифицировать винду, офис и прочее?
И более того, за каждую бумажку для каждого компа при этом отстегивать от 1300р.!
А сертифицируете ли вы ОСи рабочих станций?

 

[Zonner]

Ты классификацию то читал? там все в принципе расписано, что сертифицировать а что нет. (категории)

 

[Romario]

если кто заинтересуется, моя фирма занимается сертификацией по требованиям ФСТЭК. Обращаться в личку.

 

[Andrey Ford]

ну если верно,нашей конторы там нет,уф
если конечно это верная инфа,там что то Саратовской области вообще мало

по хорошему. эту тему лучше объединить с моей http://www.autosaratov.ru/phorum/showthread.php?t=82799
модераторы,может рассмотрите мое предложение?

 

[ArtemSaratov]

Сейчас кто-то ФСТЭКами занимается?

Интересует общефилосовский вопрос - заказчика сказал "хочу софт ХХ ФСТЭК", пока договор, пока туда-сюда, производство софта ХХ свёрнуто, вместо него развёрнуто ХХ+1, а на него сертификата нет. Как выходят из таких ситуаций??

Конкретный пример - хочу винду ФСТЭК.
ФСТЭК есть на вин 7, а ее уже не продают. Продают вин10.
Нет, плохой пример. Сейчас расскажете про даунгреды.

Например "хочу акронис". ФСТЭК есть на 11.5 версию, а продают 12.5

 

[external]

заказчика сказал "хочу софт ХХ ФСТЭК",

Заказчик точно понимает, что он хочет?
В любом случае, у сертификатов есть срок действия, и через 5 лет он станет недействителен.
Соответственно, очень хорошо, если разработчик по захочет заниматься продлением срока сертификата,
а если нет - то это проблемы заказчика.

Windows 10 не прошла и не пройдет сертификацию.
Варианты - либо 8.1, либо сертифицированный linux. Но чтобы он оставался сертифицированным, нужно будет каждый год покупать поддержку 1тыс/рабочее место, 5тыс/сервер.

Никто по доброй воле такое сам не захочет, только если действительно требуется.При этом берут то, что имеет действующие сертификаты, а не то, что хочется.
Реестр сертификатов есть на сайте фстэк.

И еще , на предпринимательскую деятельность по защите информации, фстэк требует получать лицензию.

 

[external]

https://blog.zlonov.ru/better-fstec-registry/

Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки.

 

[ArtemSaratov]

Заказчик точно понимает, что он хочет?

Да, понимает.
Требования письменно изложены, кучей печатей оштампованы.

В любом случае, у сертификатов есть срок действия, и через 5 лет он станет недействителен.

Ну, это уже проблемы Заказчика ведь.

Windows 10 не прошла и не пройдет сертификацию.

Заказчик написал в опросных листах ".....должна быть установлена операционная система Microsoft Windows последней редакции на момент отгрузки оборудования, сертификат ФСТЭК..."
Ну и аналогично по другим программным продуктам.

Т.о. если даже оба требования принять, как систему условий - т.е. "последняя версия из имеющих ФСТЭК", то всё равно пазл не собирается.
К примеру "последний" Акронис - это 12,5. "последний Акронис ФСТЭК" - это 11,5. Но 11,5 - никто не продаёт. Сам Акронис не продают. Пакет сертификации - пожалуйста.
У меня такое первый раз, интересно как другие выходят из подобных перипетий. Проблема-то не вчера придумана. Как-то люди ее решали.

Но чтобы он оставался сертифицированным, нужно будет каждый год покупать поддержку 1тыс/рабочее место, 5тыс/сервер

Гарантия на наши изделия 3 или 5 лет - точно не помню. Обычно проблем нет сразу купить на 5 лет пакеты продления лицензий. А дальше заказчик как хочет сам.

 

[external]

Обычно проблем нет сразу купить на 5 лет пакеты продления лицензий. А дальше заказчик как хочет сам.

https://lukatsky.blogspot.com/2019/04/blog-post_3.html

Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено"

 

[ArtemSaratov]

https://lukatsky.blogspot.com/2019/04/blog-post_3.html
ействие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено"

Мммммм..
Немного не понял - и что в этом такого?

Вам жена сказала "купи ящик мороженого". Если вы купили 1 пачку - вы плохой муж. Если вы купили ящик - вы хороший муж.
И не важно, прокисло у нее молоко через неделю или нет.

Так же и тут.
Заказчик обычно говорит "хочу ПО такое-то, срок лицензии - не менее 3 лет". Проверяет при получении - то ли ПО вы поставили, грубо говоря 3 диска Касперского или только 2.
И проверяет срок - на год лицензия или на 3.
И всё - условия договора исполнены. Что заказчик оплатил, то и получил. Прокиснет ли молоко через неделю - это проблема Заказчика и его холодильника.

Вообще, прикольная тема. Купили вы машину Евро-2, а потом государство придумало Евро-4.
И вы, как заказчик, пошли требовать дооснастить машину под новые требования.

 

[external]

Это был комментарий про закупку устаревшего сертифицированного ПО. Имеется вероятность приостановки сертификата на него. Для заказчика это приведет к необходимости закупки другого ПО.

А смысл всей статьи был такой:

коммерческим компаниям надо прекратить заморачиваться вопросом с сертификацией по требованиям безопасности (на безопасность это не влияет никак, а ограничивает очень сильно), а государственным органам можно только посочувствовать - возможности выбора ими средств защиты станут проще (продуктов останется совсем мало),

 

[ArtemSaratov]

Для заказчика это приведет к необходимости закупки другого ПО.

Ну, любой человек знает о том, что сегодня покупаешь 10ый айфон, а завтра он становится "тыквой".

коммерческим компаниям надо прекратить заморачиваться вопросом с сертификацией по требованиям безопасности

Ха! Блажен, кто верует.
Мы - коммерческая организация. Но если сейчас послушаем этого человека и "прекратим" заворачиваться - то значит не исполним прямые требования контракта. И значит - суды и прочие издержки.