Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Началось! 06.08.02 08:28 Число просмотров: 4229
Автор: cybervlad <cybervlad> Статус: Elderman
|
> > я родной копилочке лицензии давно сделал, посему > спокоен... > > И на деятельность по технической защите конфиденциальной > информации??? А зачем она мне? Я же не занимаюсь ПД ИТР и не оказываю услуг в этой области ;)
Собственно, на форуме sec.ru "официальные лица" дали разъяснения по необходимости лицензирования именно этого вида деятельности (кипеж поднялся, когда ГТК выпустила соответствующее положение, утвержденное правительством, в то время как у ФАПСИ есть только ведомственное ПКЗ-99). Дабы не утомляться пересказом, я просто процитирую эти объяснения, обобщенные Алексеем Лукацким в специализированной рассылке (копия была в конференции ru.security).
Кто хочет "совсем оригинал", Welcome to http://www.sec.ru/forum2.cfm?threadid=716&read=1&posa=32&stpa=10&pos=1&stp=20
третье сообщение сверху и далее...
==== begin quote ===
На форуме sec.ru уже несколько месяцев идет обсуждение темы
сертификации средств защиты и недостатков российского
законодательства. И вот вчера один из сотрудников Гостехкомиссии,
отвечающий в данном ведомстве за вопросы лицензирования и
сертификации, сформулировал несколько тезисов, которые я и позволю
повторить в данном списке рассылки. Получился достаточно длинный
текст, но он намного короче всех тех руководящих документов и
законов, которые у нас существуют. Прошу обратить ваше внимание на
последнее предложение 1-го пункта.
1. Что включается в понятие "деятельность по технической
защите конфиденциальной информации"? Деятельность по осуществлению
мероприятий и (или) услуг по защите информации от утечки по
техническим каналам, несанкционированного доступа и специальных
воздействий на нее в целях уничтожения, искажения или блокирования
доступа к ней (ст.2 Положения). При обработке, хранении и передаче
информации возможны следующие каналы утечки и источники угроз
безопасности информации: акустическое излучение информативного
речевого сигнала; электрические сигналы, возникающие при
преобразовании информативного сигнала из акустического в
электрический за счет микрофонного эффекта и распространяющиеся по
проводам и линиям, выходящим за пределы контролируемой зоны;
виброакустические сигналы, возникающие при преобразовании
информативного акустического сигнала за счет воздействия его на
строительные конструкции и инженерно-технические коммуникации
защищаемого помещения; несанкционированный доступ к обрабатываемой
в автоматизированных системах информации и несанкционированные
действия с ней; воздействие на технические или программные
средства информационных систем в целях нарушения
конфиденциальности, целостности и доступности информации
посредством специально внедренных программных средств; побочные
электромагнитные излучения информативных сигналов от технических
средств и линий передачи информации; наводки информативного
сигнала, обрабатываемого техническими средствами, на цепи
электропитания и линии связи, выходящие за пределы контролируемой
зоны; радиоизлучения, модулированные информативным сигналом,
возникающие при работе различных генераторов, входящих в состав
технических средств, или при наличии паразитной генерации в узлах
технических средств; радиоизлучения или электрические сигналы от
внедренных в технические средства и защищаемые помещения
специальных электронных устройств съема речевой информации
("закладочные устройства"), модулированные информативным сигналом;
радиоизлучения или электрические сигналы от электронных устройств
перехвата информации, подключенных к каналам связи или техническим
средствам обработки информации; просмотр информации с экранов
дисплеев и других средств ее отображения, бумажных и иных
носителей информации, в том числе с помощью оптических средств;
прослушивание телефонных и радиопереговоров; хищение технических
средств с хранящейся в них информацией или носителей информации.
> Таким образом, деятельность по технической защите >конфиденциальной информации включает не только услуги, оказываемые
>сторонним организациям и индивидуальным предпринимателям, но и
>мероприятия по обеспечению собственных нужд юридического лица или
>индивидуального предпринимателя по защите конфиденциальной
>информации при ее обработке, хранении, передаче.
2. Какая информация подлежит защите? Любая документированная
информация (зафиксированная на материальном носителе с
реквизитами, позволяющими ее идентифицировать), неправомерное
использование которой может нанести ущерб ее собственнику,
владельцу, пользователю и иному лицу (ст.21 ФЗ N24 от 22.02.95 "Об
информации, информатизации и защите информации").
3. Чем определяется, возможен ли ущерб от неправомерного
обращения с той или иной информацией? ФЗ N24 от 22.02.95 "Об
информации, информатизации и защите информации" (ст.10), где
информационные ресурсы разделены на открытую информацию
(неправомерное обращение с которой, не может нанести ущерб) и
информацию с ограниченным доступом (неправомерное обращение с
которой, может нанести ущерб).
К открытой информации относятся: (см.ФЗ N24). К информации с
ограниченным доступом относится информация, составляющая
государственную тайну и конфиденциальная информация. Перечень
сведений, отнесенных к государственной тайне, определен Указом
Президента Российской Федерации от 24.01.98 N 61 "О перечне
сведений, отнесенных к государственной тайне".
Перечень сведений конфиденциального характера определен
Указом Президента Российской Федерации от 6.03.97 N 188. К ним
относятся: сведения о фактах, событиях и обстоятельствах частной
жизни гражданина, позволяющие идентифицировать его личность
(персональные данные), за исключением сведений, подлежащих
распространению в средствах массовой информации в установленных
федеральными законами случаях (к персональным данным относятся
также сведения о семейном, финансовом, имущественном положении,
сведения о состоянии здоровья); сведения, составляющие тайну
следствия и судопроизводства; служебные сведения, доступ к которым
ограничен органами государственной власти в соответствии с
Гражданским кодексом Российской Федерации и федеральными законами
(служебная тайна); сведения, связанные с профессиональной
деятельностью, доступ к которым ограничен в соответствии с
Конституцией Российской Федерации и федеральными законами
(врачебная, нотариальная, адвокатская тайна, нотариальная тайна,
тайна страхования, тайна исповеди, тайна переписки, телефонных
переговоров, почтовых отправлений, телеграфных или иных
сообщений). Основным отличительным признаком профессиональной и
служебной тайны является деятельность, в результате осуществления
которой стала известна информация, составляющая тайну. В случае
профессиональной тайны - это деятельность, не связанная с
государственной или муниципальной службой, а в случае служебной
тайны - это деятельность, связанная с государственной службой.
сведения, связанные с коммерческой деятельностью, доступ к которым
ограничен в соответствии с Гражданским кодексом Российской
Федерации и федеральными законами (коммерческая тайна). Одно из
наиболее удачных определений коммерческой тайны дано в проекте
Федерального закона "О коммерческой тайне". Коммерческая тайна -
это научно-техническая, технологическая, коммерческая,
организационная или иная используемая в предпринимательской
деятельности информация, которая обладает действительной или
потенциальной коммерческой ценностью в силу неизвестности ее
третьим лицам, к которой нет свободного доступа на законном
основании, и по отношению к которой владелец информации принимает
адекватные ее ценности правовые, организационные, технические и
иные меры защиты; сведения о сущности изобретения, полезной модели
или промышленного образца до официальной публикации.
4. Что такое режим защиты конфиденциальной информации и кто
его устанавливает? Режим защиты информации - это система
организационных, технических и иных мер, направленных на
обеспечение безопасности (конфиденциальности, целостности,
доступности) информации. В соответствии со статьей 12 ФЗ N24 от
22.02.95 "Об информации, информатизации и защите информации" режим
защиты устанавливает:
- в отношении конфиденциальной документированной
информации - собственник информационных ресурсов или
уполномоченное лицо, на основании настоящего Федерального закона;
- в отношении персональных данных - Федеральный закон.
До выхода Федерального закона персональные данные защищаются в
режиме конфиденциальной информации.
5. Какими правами обладает собственник конфиденциальной
информации и какие права он сам может реализовать? Собственник
имеет право:
- осуществлять контроль за выполнением требований по
защите информации и запрещать или приостанавливать обработку
информации в случае невыполнения этих требований;
- обращаться в органы государственной власти для оценки
правильности выполнения норм и требований по защите информации в
информационных системах.
Соответствующие органы государственной власти определены в
статье 23.46 Кодекса Российской Федерации об административных
правонарушениях от 30 декабря 2001 г. N 195-ФЗ и должны соблюдать
условия конфиденциальности самой информации и результатов
проверки.
6. Какие обязанности у владельца конфиденциальной информации?
В соответствии со статьей 15 ФЗ N24 от 22.02.95 "Об информации,
информатизации и защите информации" владелец конфиденциальной
информации (субъект, осуществляющий владение и пользование
информацией и реализующий полномочия распоряжения ею в пределах,
установленных законом) обязан:
- обеспечить соблюдение режима обработки и правил
предоставления информации пользователю, установленных
законодательством Российской Федерации или собственником;
- нести юридическую ответственность за нарушение правил
работы с информацией в порядке, предусмотренном законодательством.
7. Кто обязан осуществлять контроль за соблюдением требований
к защите информации? (ст. 21 п.3 ФЗ N24) Контроль за соблюдением
требований к защите информации и эксплуатацией специальных
программно-технических средств защиты, а также обеспечение
организационных мер защиты информационных систем, обрабатывающих
информацию с ограниченным доступом в негосударственных структурах,
осуществляются органами государственной власти. Контроль
осуществляется в порядке, определяемом Правительством Российской
Федерации. Такой порядок и определен в пост.290. Лицензирование
деятельности - это и есть форма государственного контроля.
====== end quote =====
|
- Началось! - cybervlad 30.07.02 11:26 [3035]
- Началось! - Vacheslav1 30.07.02 17:42 [3896]
- Началось! - cybervlad 31.07.02 08:16 [3599]
- Началось! - Vacheslav1 31.07.02 10:56 [3594]
- Началось! - cybervlad 01.08.02 10:57 [3461]
- Началось! - Sneaker 05.08.02 13:26 [3606]
- Началось! - cybervlad 06.08.02 08:28 [4229]
- Уточни...плиз - DamNet 30.07.02 11:40 [3723]
|
|
|