информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsГде водятся OGRыВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / law
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Началось! 30.07.02 11:26  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
Новый КоаП (административный кодекс) в действии. В некоторые банки, предоставляющие услуги клиент-банк (удаленное управление счетом) приходят компетентные органы и предлагают предоставить им разрешительные документы на право занятия деятельностью в области защиты информации (т.е. лицензии ФАПСИ). А так как они есть далеко не у всех, вспоминаются статьи 13.12 и 13.12 упомянутого кодекса...
Началось! 30.07.02 17:42  
Автор: Vacheslav1 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Новый КоаП (административный кодекс) в действии. В
> некоторые банки, предоставляющие услуги клиент-банк
> (удаленное управление счетом) приходят компетентные органы
> и предлагают предоставить им разрешительные документы на
> право занятия деятельностью в области защиты информации
> (т.е. лицензии ФАПСИ). А так как они есть далеко не у всех,
> вспоминаются статьи 13.12 и 13.12 упомянутого кодекса...

А чего началось-то? Предупреждали заранее... Может просто никто не верил, что будут приходить и сертификаты смотреть?
Вообще-то с одной стороны это хорошо - один супермудрый банк отличается тем, что для удаленной работы используется tmail с привинченным криптовщиком. - театральная пауза - написанным каким-то студентом года три назад...
А со всех других сторон - это плохо.

Подождем когда ЦБ за это будет лицензию отбирать ;(

(OffTopic) Чем дольше живу, тем чаще вспоминается анекдот: в 1917 году мы вас унижали, в 1937 - истребляли, в 1980 - обманывали. Но сейчас у нас кончились деньги - заплатите налоги. Правда, в нашем случае не налоги, а лицензирование.
Началось! 31.07.02 08:16  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> А чего началось-то? Предупреждали заранее... Может просто
Начались конкретные действия. Не спорю, заранее предупреждали, но в России все всегда для всех неожиданно ;) В указанном случае люди вообще не знали, что по закону "О лицензировании" такие лицензии нужны и что за это есть ответсвенность в КоАП.

> никто не верил, что будут приходить и сертификаты смотреть?
Возможно ;)

> Вообще-то с одной стороны это хорошо - один супермудрый
> банк отличается тем, что для удаленной работы используется
> tmail с привинченным криптовщиком. - театральная пауза -
> написанным каким-то студентом года три назад...
Вот-вот...

> А со всех других сторон - это плохо.
В связи с изменением порядка лицензирования - не так уж.

> Подождем когда ЦБ за это будет лицензию отбирать ;(
Не будет. Не в его компетенции. Раньше было требование лицензирования, но не было карательных мер. теперь появился КоаП, зачем как-то нестандартно (через ЦБ) на банки давить? Придут, спросят "а что тута у вас шифрует?" и заберут сервер ;) Через пару недель разберутся, сервер вернут, но банк - уже труп ;))

> обманывали. Но сейчас у нас кончились деньги - заплатите
> налоги. Правда, в нашем случае не налоги, а лицензирование.
Не смеши. Когда оно было "через экспертизу" - это были деньги, отдельный хоз. договор. А сейчас - 300р за рассмотрение заявления и 1000 р за выдачу лицензии. Это даже частному лицу по силам, бо лицензия на 5 лет...
Началось! 31.07.02 10:56  
Автор: Vacheslav1 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > А чего началось-то? Предупреждали заранее... Может
> просто
> Начались конкретные действия. Не спорю, заранее
> предупреждали, но в России все всегда для всех неожиданно
> ;) В указанном случае люди вообще не знали, что по закону
> "О лицензировании" такие лицензии нужны и что за это есть
> ответсвенность в КоАП.
>
> > никто не верил, что будут приходить и сертификаты
> смотреть?
> Возможно ;)
>
> > Вообще-то с одной стороны это хорошо - один
> супермудрый
> > банк отличается тем, что для удаленной работы
> используется
> > tmail с привинченным криптовщиком. - театральная пауза
> -
> > написанным каким-то студентом года три назад...
> Вот-вот...
>
> > А со всех других сторон - это плохо.
> В связи с изменением порядка лицензирования - не так уж.
>
> > Подождем когда ЦБ за это будет лицензию отбирать ;(
> Не будет. Не в его компетенции. Раньше было требование
> лицензирования, но не было карательных мер. теперь появился
> КоаП, зачем как-то нестандартно (через ЦБ) на банки давить?
> Придут, спросят "а что тута у вас шифрует?" и заберут
> сервер ;) Через пару недель разберутся, сервер вернут, но
> банк - уже труп ;))
>
> > обманывали. Но сейчас у нас кончились деньги -
> заплатите
> > налоги. Правда, в нашем случае не налоги, а
> лицензирование.
> Не смеши. Когда оно было "через экспертизу" - это были
> деньги, отдельный хоз. договор. А сейчас - 300р за
> рассмотрение заявления и 1000 р за выдачу лицензии. Это
> даже частному лицу по силам, бо лицензия на 5 лет...

Ладно, убедил :))) Хотя, "птичка по зернышку клюет" (если банков в стране много)... О! Идея, "они" хотят зарабатывать на штрафах! Хотя, и штрафы-то копеечные до 3000руб... Может "они" хотят зарабатывать на взятках? Или простолюбятгеморрой...

Честно говоря, уже жду когда в нашу "копилочку" придут...
Началось! 01.08.02 10:57  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>

> Ладно, убедил :))) Хотя, "птичка по зернышку клюет" (если
> банков в стране много)... О! Идея, "они" хотят зарабатывать
> на штрафах! Хотя, и штрафы-то копеечные до 3000руб... Может
но когда их много ;)
кстати 30 минималок - это 3000р? что-то я отстал в этом вопросе...

> "они" хотят зарабатывать на взятках? Или простолюбят
> геморрой...

хм. не знаю. штраф - фигня. а вот конфискация - это серьезно.


> Честно говоря, уже жду когда в нашу "копилочку" придут...
мазохист? ;)
я родной копилочке лицензии давно сделал, посему спокоен...
Началось! 05.08.02 13:26  
Автор: Sneaker Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> я родной копилочке лицензии давно сделал, посему спокоен...

И на деятельность по технической защите конфиденциальной информации???
Началось! 06.08.02 08:28  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> > я родной копилочке лицензии давно сделал, посему
> спокоен...
>
> И на деятельность по технической защите конфиденциальной
> информации???
А зачем она мне? Я же не занимаюсь ПД ИТР и не оказываю услуг в этой области ;)
Собственно, на форуме sec.ru "официальные лица" дали разъяснения по необходимости лицензирования именно этого вида деятельности (кипеж поднялся, когда ГТК выпустила соответствующее положение, утвержденное правительством, в то время как у ФАПСИ есть только ведомственное ПКЗ-99). Дабы не утомляться пересказом, я просто процитирую эти объяснения, обобщенные Алексеем Лукацким в специализированной рассылке (копия была в конференции ru.security).
Кто хочет "совсем оригинал", Welcome to http://www.sec.ru/forum2.cfm?threadid=716&read=1&posa=32&stpa=10&pos=1&stp=20
третье сообщение сверху и далее...

==== begin quote ===
На форуме sec.ru уже несколько месяцев идет обсуждение темы
сертификации средств защиты и недостатков российского
законодательства. И вот вчера один из сотрудников Гостехкомиссии,
отвечающий в данном ведомстве за вопросы лицензирования и
сертификации, сформулировал несколько тезисов, которые я и позволю
повторить в данном списке рассылки. Получился достаточно длинный
текст, но он намного короче всех тех руководящих документов и
законов, которые у нас существуют. Прошу обратить ваше внимание на
последнее предложение 1-го пункта.

1. Что включается в понятие "деятельность по технической
защите конфиденциальной информации"? Деятельность по осуществлению
мероприятий и (или) услуг по защите информации от утечки по
техническим каналам, несанкционированного доступа и специальных
воздействий на нее в целях уничтожения, искажения или блокирования
доступа к ней (ст.2 Положения). При обработке, хранении и передаче
информации возможны следующие каналы утечки и источники угроз
безопасности информации: акустическое излучение информативного
речевого сигнала; электрические сигналы, возникающие при
преобразовании информативного сигнала из акустического в
электрический за счет микрофонного эффекта и распространяющиеся по
проводам и линиям, выходящим за пределы контролируемой зоны;
виброакустические сигналы, возникающие при преобразовании
информативного акустического сигнала за счет воздействия его на
строительные конструкции и инженерно-технические коммуникации
защищаемого помещения; несанкционированный доступ к обрабатываемой
в автоматизированных системах информации и несанкционированные
действия с ней; воздействие на технические или программные
средства информационных систем в целях нарушения
конфиденциальности, целостности и доступности информации
посредством специально внедренных программных средств; побочные
электромагнитные излучения информативных сигналов от технических
средств и линий передачи информации; наводки информативного
сигнала, обрабатываемого техническими средствами, на цепи
электропитания и линии связи, выходящие за пределы контролируемой
зоны; радиоизлучения, модулированные информативным сигналом,
возникающие при работе различных генераторов, входящих в состав
технических средств, или при наличии паразитной генерации в узлах
технических средств; радиоизлучения или электрические сигналы от
внедренных в технические средства и защищаемые помещения
специальных электронных устройств съема речевой информации
("закладочные устройства"), модулированные информативным сигналом;
радиоизлучения или электрические сигналы от электронных устройств
перехвата информации, подключенных к каналам связи или техническим
средствам обработки информации; просмотр информации с экранов
дисплеев и других средств ее отображения, бумажных и иных
носителей информации, в том числе с помощью оптических средств;
прослушивание телефонных и радиопереговоров; хищение технических
средств с хранящейся в них информацией или носителей информации.

> Таким образом, деятельность по технической защите
>конфиденциальной информации включает не только услуги, оказываемые
>сторонним организациям и индивидуальным предпринимателям, но и
>мероприятия по обеспечению собственных нужд юридического лица или
>индивидуального предпринимателя по защите конфиденциальной
>информации при ее обработке, хранении, передаче.

2. Какая информация подлежит защите? Любая документированная
информация (зафиксированная на материальном носителе с
реквизитами, позволяющими ее идентифицировать), неправомерное
использование которой может нанести ущерб ее собственнику,
владельцу, пользователю и иному лицу (ст.21 ФЗ N24 от 22.02.95 "Об
информации, информатизации и защите информации").
3. Чем определяется, возможен ли ущерб от неправомерного
обращения с той или иной информацией? ФЗ N24 от 22.02.95 "Об
информации, информатизации и защите информации" (ст.10), где
информационные ресурсы разделены на открытую информацию
(неправомерное обращение с которой, не может нанести ущерб) и
информацию с ограниченным доступом (неправомерное обращение с
которой, может нанести ущерб).
К открытой информации относятся: (см.ФЗ N24). К информации с
ограниченным доступом относится информация, составляющая
государственную тайну и конфиденциальная информация. Перечень
сведений, отнесенных к государственной тайне, определен Указом
Президента Российской Федерации от 24.01.98 N 61 "О перечне
сведений, отнесенных к государственной тайне".
Перечень сведений конфиденциального характера определен
Указом Президента Российской Федерации от 6.03.97 N 188. К ним
относятся: сведения о фактах, событиях и обстоятельствах частной
жизни гражданина, позволяющие идентифицировать его личность
(персональные данные), за исключением сведений, подлежащих
распространению в средствах массовой информации в установленных
федеральными законами случаях (к персональным данным относятся
также сведения о семейном, финансовом, имущественном положении,
сведения о состоянии здоровья); сведения, составляющие тайну
следствия и судопроизводства; служебные сведения, доступ к которым
ограничен органами государственной власти в соответствии с
Гражданским кодексом Российской Федерации и федеральными законами
(служебная тайна); сведения, связанные с профессиональной
деятельностью, доступ к которым ограничен в соответствии с
Конституцией Российской Федерации и федеральными законами
(врачебная, нотариальная, адвокатская тайна, нотариальная тайна,
тайна страхования, тайна исповеди, тайна переписки, телефонных
переговоров, почтовых отправлений, телеграфных или иных
сообщений). Основным отличительным признаком профессиональной и
служебной тайны является деятельность, в результате осуществления
которой стала известна информация, составляющая тайну. В случае
профессиональной тайны - это деятельность, не связанная с
государственной или муниципальной службой, а в случае служебной
тайны - это деятельность, связанная с государственной службой.
сведения, связанные с коммерческой деятельностью, доступ к которым
ограничен в соответствии с Гражданским кодексом Российской
Федерации и федеральными законами (коммерческая тайна). Одно из
наиболее удачных определений коммерческой тайны дано в проекте
Федерального закона "О коммерческой тайне". Коммерческая тайна -
это научно-техническая, технологическая, коммерческая,
организационная или иная используемая в предпринимательской
деятельности информация, которая обладает действительной или
потенциальной коммерческой ценностью в силу неизвестности ее
третьим лицам, к которой нет свободного доступа на законном
основании, и по отношению к которой владелец информации принимает
адекватные ее ценности правовые, организационные, технические и
иные меры защиты; сведения о сущности изобретения, полезной модели
или промышленного образца до официальной публикации.
4. Что такое режим защиты конфиденциальной информации и кто
его устанавливает? Режим защиты информации - это система
организационных, технических и иных мер, направленных на
обеспечение безопасности (конфиденциальности, целостности,
доступности) информации. В соответствии со статьей 12 ФЗ N24 от
22.02.95 "Об информации, информатизации и защите информации" режим
защиты устанавливает:
- в отношении конфиденциальной документированной
информации - собственник информационных ресурсов или
уполномоченное лицо, на основании настоящего Федерального закона;
- в отношении персональных данных - Федеральный закон.
До выхода Федерального закона персональные данные защищаются в
режиме конфиденциальной информации.
5. Какими правами обладает собственник конфиденциальной
информации и какие права он сам может реализовать? Собственник
имеет право:
- осуществлять контроль за выполнением требований по
защите информации и запрещать или приостанавливать обработку
информации в случае невыполнения этих требований;
- обращаться в органы государственной власти для оценки
правильности выполнения норм и требований по защите информации в
информационных системах.
Соответствующие органы государственной власти определены в
статье 23.46 Кодекса Российской Федерации об административных
правонарушениях от 30 декабря 2001 г. N 195-ФЗ и должны соблюдать
условия конфиденциальности самой информации и результатов
проверки.
6. Какие обязанности у владельца конфиденциальной информации?
В соответствии со статьей 15 ФЗ N24 от 22.02.95 "Об информации,
информатизации и защите информации" владелец конфиденциальной
информации (субъект, осуществляющий владение и пользование
информацией и реализующий полномочия распоряжения ею в пределах,
установленных законом) обязан:
- обеспечить соблюдение режима обработки и правил
предоставления информации пользователю, установленных
законодательством Российской Федерации или собственником;
- нести юридическую ответственность за нарушение правил
работы с информацией в порядке, предусмотренном законодательством.
7. Кто обязан осуществлять контроль за соблюдением требований
к защите информации? (ст. 21 п.3 ФЗ N24) Контроль за соблюдением
требований к защите информации и эксплуатацией специальных
программно-технических средств защиты, а также обеспечение
организационных мер защиты информационных систем, обрабатывающих
информацию с ограниченным доступом в негосударственных структурах,
осуществляются органами государственной власти. Контроль
осуществляется в порядке, определяемом Правительством Российской
Федерации. Такой порядок и определен в пост.290. Лицензирование
деятельности - это и есть форма государственного контроля.

====== end quote =====
Уточни...плиз 30.07.02 11:40  
Автор: DamNet <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
> Новый КоаП (административный кодекс) в действии.
Где почитать?

> некоторые банки, предоставляющие услуги клиент-банк
> (удаленное управление счетом) приходят компетентные органы
> и предлагают предоставить им разрешительные документы на
> право занятия деятельностью в области защиты информации
> (т.е. лицензии ФАПСИ). А так как они есть далеко не у всех,
> вспоминаются статьи 13.12 и 13.12 упомянутого кодекса...
Уточни пожалуйста что это за статьи, и почему у них одинаковые номера? :) У нас как раз специальная машинка для управления счетами удалённо, и меня это интересует....
Уточни...плиз 30.07.02 11:46  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> > Новый КоаП (административный кодекс) в действии.
> Где почитать?
Ну, я откуда знаю, где у тебя ближайший юр. справочник? у нас в сети установлен...

> > вспоминаются статьи 13.12 и 13.12 упомянутого
> кодекса...
> Уточни пожалуйста что это за статьи, и почему у них
> одинаковые номера? :) У нас как раз специальная машинка для
Опечатка - номера 13.12 и 13.13 соответственно ;)
> управления счетами удалённо, и меня это интересует....
Ты в банке работаешь или вы клиенты банка? Если второе - вам лицензия не нужна, можешь не напрягаться.

Статья 13.12. Нарушение правил защиты информации
(это не очень интересно)

Статья 13.13. Незаконная деятельность в области защиты информации
1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), -

влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на должностных лиц - от двадцати до тридцати минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой.
Правильно ли я понимаю? 30.07.02 15:14  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> > > Новый КоаП (административный кодекс) в действии.

> Ты в банке работаешь или вы клиенты банка? Если второе -
> вам лицензия не нужна, можешь не напрягаться.
>
> Статья 13.12. Нарушение правил защиты информации
> (это не очень интересно)
>
> Статья 13.13. Незаконная деятельность в области защиты
> информации
> 1. Занятие видами деятельности в области защиты информации
> (за исключением информации, составляющей государственную
> тайну) без получения в установленном порядке специального
> разрешения (лицензии), если такое разрешение (такая
> лицензия) в соответствии с федеральным законом обязательно
> (обязательна)

Занятие видами деятельности в области защиты информации прдполагает получение дохода от этого?
То есть, я, частное лицо, поставил себе на комп ПГП, создал ПГПдиск, естественно, только я им пользуюсь, подпадает ли это под ст.13.13?

Тот же самый вопрос про юр.лицо - поставила контора себе ПГП и пользуется им.. Но только внутри конторы. Никому информация оттуда не предоставляется и услуги соответственно не оказываются.

Правильно я понимаю, или где-то торможу?
Правильно ли я понимаю? 31.07.02 08:26  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Занятие видами деятельности в области защиты информации
> прдполагает получение дохода от этого?
Не обязательно. Есть возмездные отноешения, а есть оказание услуг на невозмездной основе.

> То есть, я, частное лицо, поставил себе на комп ПГП, создал
> ПГПдиск, естественно, только я им пользуюсь, подпадает ли
> это под ст.13.13?
Нет. Читай текст внимательно "если закон требует получения лицензии". Когда требуется лицензия подробно изложено в ст. 17 закона "О лицензировании отдельных видов деятельности" (N128-ФЗ, август 2001, позхже ещ едополнения были какие-то).
Использование ПГП в личных целях не требует получения лицензии.

> Тот же самый вопрос про юр.лицо - поставила контора себе
> ПГП и пользуется им.. Но только внутри конторы. Никому
> информация оттуда не предоставляется и услуги
> соответственно не оказываются.
Аналогично. Хоть XORом с константой шифруйте, внутри - это ваше дело ;)
Но! Если вы обрабатываете и защищаете (пусть даже и внутри) информацию, порядок защиты которой определен государством (персональная информация, например) - могут обязать использовать только сертифицированнеы средства и получить лицензию. Но это врядли ;)

> Правильно я понимаю, или где-то торможу?
;))
Правильно ли я понимаю? 30.07.02 16:17  
Автор: vaborg <Israel Vaborg> Статус: Elderman
<"чистая" ссылка>
а чему вы собственно удивляетесь все правильно
это и до нового Коапа было только может никто туда не лез без нужды
например в конторе писали майлер типа бата и использовали возможность
криптования сообщений после этого весь продукт должен быть сертифицирован ФАПСИ и писали к нему 10 коробок документации и везли все это им :)
проще говоря если ты пишешь свой криптор (или предоставляешь услиги связи через защищенный канал) то должен у ФАПСИ получить на это разрешение :)
например использование sshd на сервере вполне можно трактовать именно так :)
Правильно ли я понимаю? 31.07.02 08:29  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> например использование sshd на сервере вполне можно
> трактовать именно так :)
Можно. Но не нужно. Иначе придется всем сносить винды, БСД и прочие разные линуксы - везде криптофункции есть. Равно как и броузеры. А кому такой маразм нужен? ;)
Правильно ли я понимаю? 31.07.02 21:22  
Автор: vaborg <Israel Vaborg> Статус: Elderman
<"чистая" ссылка>
нет сам ты можешь пользоваться чем угодно насколько я понимаю
а вот давать другим ай ай яй :) то есть в принципе разработчики линуха например должны проходить сертификацию как и мастдай тоже собственно
Изврат 31.07.02 01:06  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach