S3R

Коротко о главном.

В ноябре 2010 года ЗАО «НПО «Эшелон» было аккредитовано как орган по сертификации средств защиты информации в системе сертификации средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России).

Активная работа началась с наступлением 2011 года. За прошедший год в Орган по сертификации поступило более 60 решений ФСТЭК России на проведение экспертизы сертификационных испытаний, при этом около 20 продуктов получили сертификаты соответствия. среди которых: Juniper, SRX240H, Oracle Database, Cisco ASA 5510, Microsoft Forefront, Novell SUSE Linux, IBM AIX, IP/MPLS, SCSM, РТТ-А311, Антивирус Касперского, Microsoft Windows 7 OEM, Аура, ViPNet и другие.

Экспертизу проводят высококлассные специалисты, имеющие большой практический опыт не только в проведении экспертиз, но и в самих сертификационных испытаниях.

Принцип работы наших экспертов – качественная экспертиза в кратчайшие сроки.

Possibly Related Posts:

• Важное сообщение ФСТЭК России о работах в области оценки соответствия (сертификации) средств защиты информации
• Требования к средствам антивирусной защиты ФСТЭК России
• Бессрочная лицензия на деятельность в области безопасности информации — путь в бесконечность!
• Перспективы развития новых нормативных документов ФСТЭК России на базе «Общих Критериев»
• Компания Эшелон запатентовала свои технологии в области поиска программных закладок

Федеральный закон Российской федерации «О лицензировании отдельных видов деятельности» носит номер 99 и принят он 4 мая 2011 года.

Что же изменилось, на первый взгляд, в новом Законе по сравнению с 128 ФЗ с точки зрения лицензирования деятельности по защите информации?

В принципе, кардинальных изменений только два:

1. Теперь все лицензии становятся бессрочными (при этом четко прописаны сроки возможных плановых проверок).
2. Лицензий по деятельности, связанной с защитой информации криптографическими методами, стало вместо четырех – одна (при этом количество видов деятельности даже несколько увеличилось!).

 Теперь более подробно.

Часть 4 Статьи 9 гласит:
«Лицензии действуют бессрочно».
А в Статье 19, в части 9 сказано:
«Основанием для включения плановой проверки лицензиата в ежегодный план проведения плановых проверок является:
1) истечение одного года со дня принятия решения о предоставлении лицензии или переоформлении лицензии;
2) истечение трех лет со дня окончания последней плановой проверки лицензиата;…»

То есть через год после получения лицензии и в последующем через каждые три года к лицензиату могут планово приехать проверяющие.
Причины внеплановых проверок остались, в принципе, те же.

Для тех. кто уже работает по полученным лицензиям, надо особо обратить внимание на две части Статьи 22:
«3. Предоставленные до дня вступления в силу настоящего Федерального закона лицензии на виды деятельности, указанные в части 1 статьи 12 настоящего Федерального закона, действуют бессрочно.
4. Предоставленные до дня вступления в силу настоящего Федерального закона лицензии на виды деятельности, наименования которых изменены, а также такие лицензии, не содержащие перечня работ, услуг, которые выполняются, оказываются в составе конкретных видов деятельности, по истечении срока их действия подлежат переоформлению в порядке, установленном статьей 18 настоящего Федерального закона, при условии соблюдения лицензионных требований, предъявляемых к таким видам деятельности. Переоформленные лицензии действуют бессрочно».

При этом часть 3 интересна больше лицензиатам ФСТЭК России, а часть 4 – лицензиатам ФСБ России.
Это разделение интересов связано как раз со вторым кардинальным изменением (см. выше) и обуславливается лицензируемыми видами деятельности по защите информации, точнее, с теми изменениями, которые они претерпели.

Виды деятельности, подлежащие лицензированию, приведены в статье 12 Закона.
Что касается области лицензирования ФСТЭК России, то она осталась без изменений:

«4) разработка и производство средств защиты конфиденциальной информации;
5) деятельность по технической защите конфиденциальной информации»,
а что касается ФСБ России, то здесь произошли изменения.
Как уже говорилось, лицензия, скорее всего, будет одна, но выдаваться она будет на разные виды деятельности:
«1) разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (крипто графических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

Как видите, появился новый вид деятельности: выполнение работ, которого раньше не было. Кроме того, такие виды деятельности, как распространение и техническое обслуживание теперь распространяются (простите за тавтологию) и на информационные системы и телекоммуникационные системы, защищенные с использованием шифровальных (криптографических) средств. Раньше, в предыдущем Законе на эти системы распространялись только разработка и производство.
Есть в этой части и еще один важный момент – появилось понятие: «для обеспечения собственных нужд юридического лица или индивидуального предпринимателя».

Что это такое и как трактовать это понятие, Закон ответа не дает. Исходя из устных объяснений, озвученных ранее на различных форумах и конференциях представителями регулятора, можно сделать вывод, что это понятие применяется только в случае защиты информации между собственными подразделениями и (или) дочерними организациями.

В остальном, существенных изменений не проглядывается.

Правда, некоторые уважаемые участники блогосферы, пишущие про информационную безопасность, говорят, что новый Закон не позволяет ФСТЭК России требовать наличия лицензии на ТЗКИ только на том основании, что операторы персональных данных (ПДн) обязаны защищать ПДн в ИСПДн, …. но это ошибка. Ни в одной статье нового Закона, включая часть 4 Статьи 8 нет никаких посылов к такому прочтению Закона:
«Статья 8. Лицензионные требования
…
4. К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, а также требования к конкретным видам и объему выпускаемой или планируемой к выпуску продукции».

Здесь речь идет только о лицензионных требованиях, которые должны быть прописаны в Постановлениях правительства и ни о чем более.

Федеральный закон «О лицензировании отдельных видов деятельности» № 99 от 4 мая 2011 года вступает в силу 3 ноября 2011. После этого должны быть подписаны соответствующие Постановления Правительства.

Так что живем пока по прежнему Закону, коллеги!

Ссылка на текст ФЗ-99 «О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ».

Possibly Related Posts:

• Важное сообщение ФСТЭК России о работах в области оценки соответствия (сертификации) средств защиты информации
• Требования к средствам антивирусной защиты ФСТЭК России
• проекты новых Постановлений Правительства РФ по персональным данным
• Бессрочная лицензия на деятельность в области безопасности информации — путь в бесконечность!
• ФСБ догнала ФСТЭК. В области лицензирования деятельности по защите конфиденциальной информации.

Нет ничего более постоянного, чем желание операторов персональных данных отодвинуть приход регуляторов с проверкой.
А депутаты Государственной Думы, как всегда, чутко относятся к чаяниям своего электората. И, если, электорат не готов к выполнению требований федерального закона, значит, долг депутата помочь электорату.
   

Как депутат может помочь?
Конечно же, отодвинув сроки исполнения требований этого Закона. Ведь это самая простая и необременительная помощь!

Итак, коллеги!
Государственная Дума 10 декабря 2010 года приняла сразу в двух чтениях (втором и третьем) поправки к 152 ФЗ «О персональных данных».
Срок прихода регуляторов опять перенесен.
Правда, только на полгода – до 1 июля 2011 года, но все же…

P.S.
Опять счетчик на ispdn.ru перенастраивать надо…

Possibly Related Posts:

• Важное сообщение ФСТЭК России о работах в области оценки соответствия (сертификации) средств защиты информации
• Требования к средствам антивирусной защиты ФСТЭК России
• проекты новых Постановлений Правительства РФ по персональным данным
• Бессрочная лицензия на деятельность в области безопасности информации — путь в бесконечность!
• ФСБ догнала ФСТЭК. В области лицензирования деятельности по защите конфиденциальной информации.

Минобороны России

1. Лицензия на деятельность в области создания средств защиты информации

ФСБ России

1. Лицензия на деятельность, связанная с использованием сведений, составляющих государственную тайну

2. Лицензия на деятельность по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны

3. Лицензия на деятельность, связанная с созданием средств защиты информации

4. Лицензия на разработку, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации

5. Лицензия на деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)

6. Лицензия на деятельность по разработке и (или) производству средств защиты конфиденциальной информации

7. Лицензия на деятельность по распространению шифровальных (криптографических) средств

8. Лицензия на деятельность по техническому обслуживанию шифровальных (криптографических) средств

9. Лицензия на предоставление услуг в области шифрования информации

10. Лицензия на разработку, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем

ФСТЭК России

1. Лицензия на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации)

2. Лицензия на проведение работ, связанных с созданием средств защиты информации

3. Лицензия на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части противодействия техническим разведкам)

4. Лицензия на деятельность по технической защите конфиденциальной информации

5. Лицензия на деятельность по разработке и (или) производству средств защиты конфиденциальной информации

СВР России

1. Лицензия по допуску за рубежом предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну

2. Лицензия на право проведения работ, связанных с созданием средств защиты информации, предназначенных для эксплуатации за рубежом (в российских загранучреждениях)

3. Лицензия на право осуществления за рубежом мероприятий и (или) оказания услуг в области защиты государственной тайны

Possibly Related Posts:

• Бессрочная лицензия на деятельность в области безопасности информации — путь в бесконечность!
• ФСБ догнала ФСТЭК. В области лицензирования деятельности по защите конфиденциальной информации.
• Новое о лицензировании деятельности по ТЗКИ
• OVAL поможет интеграции систем управления иб
• Лицензирование. Смена правил.