Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Уточни...плиз 30.07.02 11:40 Число просмотров: 3719
Автор: DamNet <Denis Amelin> Статус: Elderman
|
> Новый КоаП (административный кодекс) в действии.
Где почитать?
>В
> некоторые банки, предоставляющие услуги клиент-банк
> (удаленное управление счетом) приходят компетентные органы
> и предлагают предоставить им разрешительные документы на
> право занятия деятельностью в области защиты информации
> (т.е. лицензии ФАПСИ). А так как они есть далеко не у всех,
> вспоминаются статьи 13.12 и 13.12 упомянутого кодекса...
Уточни пожалуйста что это за статьи, и почему у них одинаковые номера? :) У нас как раз специальная машинка для управления счетами удалённо, и меня это интересует....
|
|
<law>
|
Началось! 30.07.02 11:26
Автор: cybervlad <cybervlad> Статус: Elderman
|
|
Новый КоаП (административный кодекс) в действии. В некоторые банки, предоставляющие услуги клиент-банк (удаленное управление счетом) приходят компетентные органы и предлагают предоставить им разрешительные документы на право занятия деятельностью в области защиты информации (т.е. лицензии ФАПСИ). А так как они есть далеко не у всех, вспоминаются статьи 13.12 и 13.12 упомянутого кодекса...
|
|
Началось! 30.07.02 17:42
Автор: Vacheslav1 Статус: Незарегистрированный пользователь
|
> Новый КоаП (административный кодекс) в действии. В
> некоторые банки, предоставляющие услуги клиент-банк
> (удаленное управление счетом) приходят компетентные органы
> и предлагают предоставить им разрешительные документы на
> право занятия деятельностью в области защиты информации
> (т.е. лицензии ФАПСИ). А так как они есть далеко не у всех,
> вспоминаются статьи 13.12 и 13.12 упомянутого кодекса...
А чего началось-то? Предупреждали заранее... Может просто никто не верил, что будут приходить и сертификаты смотреть?
Вообще-то с одной стороны это хорошо - один супермудрый банк отличается тем, что для удаленной работы используется tmail с привинченным криптовщиком. - театральная пауза - написанным каким-то студентом года три назад...
А со всех других сторон - это плохо.
Подождем когда ЦБ за это будет лицензию отбирать ;(
(OffTopic) Чем дольше живу, тем чаще вспоминается анекдот: в 1917 году мы вас унижали, в 1937 - истребляли, в 1980 - обманывали. Но сейчас у нас кончились деньги - заплатите налоги. Правда, в нашем случае не налоги, а лицензирование.
|
| |
Началось! 31.07.02 08:16
Автор: cybervlad <cybervlad> Статус: Elderman
|
> А чего началось-то? Предупреждали заранее... Может просто
Начались конкретные действия. Не спорю, заранее предупреждали, но в России все всегда для всех неожиданно ;) В указанном случае люди вообще не знали, что по закону "О лицензировании" такие лицензии нужны и что за это есть ответсвенность в КоАП.
> никто не верил, что будут приходить и сертификаты смотреть?
Возможно ;)
> Вообще-то с одной стороны это хорошо - один супермудрый
> банк отличается тем, что для удаленной работы используется
> tmail с привинченным криптовщиком. - театральная пауза -
> написанным каким-то студентом года три назад...
Вот-вот...
> А со всех других сторон - это плохо.
В связи с изменением порядка лицензирования - не так уж.
> Подождем когда ЦБ за это будет лицензию отбирать ;(
Не будет. Не в его компетенции. Раньше было требование лицензирования, но не было карательных мер. теперь появился КоаП, зачем как-то нестандартно (через ЦБ) на банки давить? Придут, спросят "а что тута у вас шифрует?" и заберут сервер ;) Через пару недель разберутся, сервер вернут, но банк - уже труп ;))
> обманывали. Но сейчас у нас кончились деньги - заплатите
> налоги. Правда, в нашем случае не налоги, а лицензирование.
Не смеши. Когда оно было "через экспертизу" - это были деньги, отдельный хоз. договор. А сейчас - 300р за рассмотрение заявления и 1000 р за выдачу лицензии. Это даже частному лицу по силам, бо лицензия на 5 лет...
|
| | |
Началось! 31.07.02 10:56
Автор: Vacheslav1 Статус: Незарегистрированный пользователь
|
> > А чего началось-то? Предупреждали заранее... Может
> просто
> Начались конкретные действия. Не спорю, заранее
> предупреждали, но в России все всегда для всех неожиданно
> ;) В указанном случае люди вообще не знали, что по закону
> "О лицензировании" такие лицензии нужны и что за это есть
> ответсвенность в КоАП.
>
> > никто не верил, что будут приходить и сертификаты
> смотреть?
> Возможно ;)
>
> > Вообще-то с одной стороны это хорошо - один
> супермудрый
> > банк отличается тем, что для удаленной работы
> используется
> > tmail с привинченным криптовщиком. - театральная пауза
> -
> > написанным каким-то студентом года три назад...
> Вот-вот...
>
> > А со всех других сторон - это плохо.
> В связи с изменением порядка лицензирования - не так уж.
>
> > Подождем когда ЦБ за это будет лицензию отбирать ;(
> Не будет. Не в его компетенции. Раньше было требование
> лицензирования, но не было карательных мер. теперь появился
> КоаП, зачем как-то нестандартно (через ЦБ) на банки давить?
> Придут, спросят "а что тута у вас шифрует?" и заберут
> сервер ;) Через пару недель разберутся, сервер вернут, но
> банк - уже труп ;))
>
> > обманывали. Но сейчас у нас кончились деньги -
> заплатите
> > налоги. Правда, в нашем случае не налоги, а
> лицензирование.
> Не смеши. Когда оно было "через экспертизу" - это были
> деньги, отдельный хоз. договор. А сейчас - 300р за
> рассмотрение заявления и 1000 р за выдачу лицензии. Это
> даже частному лицу по силам, бо лицензия на 5 лет...
Ладно, убедил :))) Хотя, "птичка по зернышку клюет" (если банков в стране много)... О! Идея, "они" хотят зарабатывать на штрафах! Хотя, и штрафы-то копеечные до 3000руб... Может "они" хотят зарабатывать на взятках? Или простолюбятгеморрой...
Честно говоря, уже жду когда в нашу "копилочку" придут...
|
| | | |
Началось! 01.08.02 10:57
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Ладно, убедил :))) Хотя, "птичка по зернышку клюет" (если
> банков в стране много)... О! Идея, "они" хотят зарабатывать
> на штрафах! Хотя, и штрафы-то копеечные до 3000руб... Может
но когда их много ;)
кстати 30 минималок - это 3000р? что-то я отстал в этом вопросе...
> "они" хотят зарабатывать на взятках? Или простолюбят
> геморрой...
хм. не знаю. штраф - фигня. а вот конфискация - это серьезно.
> Честно говоря, уже жду когда в нашу "копилочку" придут...
мазохист? ;)
я родной копилочке лицензии давно сделал, посему спокоен...
|
| | | | |
Началось! 05.08.02 13:26
Автор: Sneaker Статус: Незарегистрированный пользователь
|
> я родной копилочке лицензии давно сделал, посему спокоен...
И на деятельность по технической защите конфиденциальной информации???
|
| | | | | |
Началось! 06.08.02 08:28
Автор: cybervlad <cybervlad> Статус: Elderman
|
> > я родной копилочке лицензии давно сделал, посему
> спокоен...
>
> И на деятельность по технической защите конфиденциальной
> информации???
А зачем она мне? Я же не занимаюсь ПД ИТР и не оказываю услуг в этой области ;)
Собственно, на форуме sec.ru "официальные лица" дали разъяснения по необходимости лицензирования именно этого вида деятельности (кипеж поднялся, когда ГТК выпустила соответствующее положение, утвержденное правительством, в то время как у ФАПСИ есть только ведомственное ПКЗ-99). Дабы не утомляться пересказом, я просто процитирую эти объяснения, обобщенные Алексеем Лукацким в специализированной рассылке (копия была в конференции ru.security).
Кто хочет "совсем оригинал", Welcome to http://www.sec.ru/forum2.cfm?threadid=716&read=1&posa=32&stpa=10&pos=1&stp=20
третье сообщение сверху и далее...
==== begin quote ===
На форуме sec.ru уже несколько месяцев идет обсуждение темы
сертификации средств защиты и недостатков российского
законодательства. И вот вчера один из сотрудников Гостехкомиссии,
отвечающий в данном ведомстве за вопросы лицензирования и
сертификации, сформулировал несколько тезисов, которые я и позволю
повторить в данном списке рассылки. Получился достаточно длинный
текст, но он намного короче всех тех руководящих документов и
законов, которые у нас существуют. Прошу обратить ваше внимание на
последнее предложение 1-го пункта.
1. Что включается в понятие "деятельность по технической
защите конфиденциальной информации"? Деятельность по осуществлению
мероприятий и (или) услуг по защите информации от утечки по
техническим каналам, несанкционированного доступа и специальных
воздействий на нее в целях уничтожения, искажения или блокирования
доступа к ней (ст.2 Положения). При обработке, хранении и передаче
информации возможны следующие каналы утечки и источники угроз
безопасности информации: акустическое излучение информативного
речевого сигнала; электрические сигналы, возникающие при
преобразовании информативного сигнала из акустического в
электрический за счет микрофонного эффекта и распространяющиеся по
проводам и линиям, выходящим за пределы контролируемой зоны;
виброакустические сигналы, возникающие при преобразовании
информативного акустического сигнала за счет воздействия его на
строительные конструкции и инженерно-технические коммуникации
защищаемого помещения; несанкционированный доступ к обрабатываемой
в автоматизированных системах информации и несанкционированные
действия с ней; воздействие на технические или программные
средства информационных систем в целях нарушения
конфиденциальности, целостности и доступности информации
посредством специально внедренных программных средств; побочные
электромагнитные излучения информативных сигналов от технических
средств и линий передачи информации; наводки информативного
сигнала, обрабатываемого техническими средствами, на цепи
электропитания и линии связи, выходящие за пределы контролируемой
зоны; радиоизлучения, модулированные информативным сигналом,
возникающие при работе различных генераторов, входящих в состав
технических средств, или при наличии паразитной генерации в узлах
технических средств; радиоизлучения или электрические сигналы от
внедренных в технические средства и защищаемые помещения
специальных электронных устройств съема речевой информации
("закладочные устройства"), модулированные информативным сигналом;
радиоизлучения или электрические сигналы от электронных устройств
перехвата информации, подключенных к каналам связи или техническим
средствам обработки информации; просмотр информации с экранов
дисплеев и других средств ее отображения, бумажных и иных
носителей информации, в том числе с помощью оптических средств;
прослушивание телефонных и радиопереговоров; хищение технических
средств с хранящейся в них информацией или носителей информации.
> Таким образом, деятельность по технической защите
>конфиденциальной информации включает не только услуги, оказываемые
>сторонним организациям и индивидуальным предпринимателям, но и
>мероприятия по обеспечению собственных нужд юридического лица или
>индивидуального предпринимателя по защите конфиденциальной
>информации при ее обработке, хранении, передаче.
2. Какая информация подлежит защите? Любая документированная
информация (зафиксированная на материальном носителе с
реквизитами, позволяющими ее идентифицировать), неправомерное
использование которой может нанести ущерб ее собственнику,
владельцу, пользователю и иному лицу (ст.21 ФЗ N24 от 22.02.95 "Об
информации, информатизации и защите информации").
3. Чем определяется, возможен ли ущерб от неправомерного
обращения с той или иной информацией? ФЗ N24 от 22.02.95 "Об
информации, информатизации и защите информации" (ст.10), где
информационные ресурсы разделены на открытую информацию
(неправомерное обращение с которой, не может нанести ущерб) и
информацию с ограниченным доступом (неправомерное обращение с
которой, может нанести ущерб).
К открытой информации относятся: (см.ФЗ N24). К информации с
ограниченным доступом относится информация, составляющая
государственную тайну и конфиденциальная информация. Перечень
сведений, отнесенных к государственной тайне, определен Указом
Президента Российской Федерации от 24.01.98 N 61 "О перечне
сведений, отнесенных к государственной тайне".
Перечень сведений конфиденциального характера определен
Указом Президента Российской Федерации от 6.03.97 N 188. К ним
относятся: сведения о фактах, событиях и обстоятельствах частной
жизни гражданина, позволяющие идентифицировать его личность
(персональные данные), за исключением сведений, подлежащих
распространению в средствах массовой информации в установленных
федеральными законами случаях (к персональным данным относятся
также сведения о семейном, финансовом, имущественном положении,
сведения о состоянии здоровья); сведения, составляющие тайну
следствия и судопроизводства; служебные сведения, доступ к которым
ограничен органами государственной власти в соответствии с
Гражданским кодексом Российской Федерации и федеральными законами
(служебная тайна); сведения, связанные с профессиональной
деятельностью, доступ к которым ограничен в соответствии с
Конституцией Российской Федерации и федеральными законами
(врачебная, нотариальная, адвокатская тайна, нотариальная тайна,
тайна страхования, тайна исповеди, тайна переписки, телефонных
переговоров, почтовых отправлений, телеграфных или иных
сообщений). Основным отличительным признаком профессиональной и
служебной тайны является деятельность, в результате осуществления
которой стала известна информация, составляющая тайну. В случае
профессиональной тайны - это деятельность, не связанная с
государственной или муниципальной службой, а в случае служебной
тайны - это деятельность, связанная с государственной службой.
сведения, связанные с коммерческой деятельностью, доступ к которым
ограничен в соответствии с Гражданским кодексом Российской
Федерации и федеральными законами (коммерческая тайна). Одно из
наиболее удачных определений коммерческой тайны дано в проекте
Федерального закона "О коммерческой тайне". Коммерческая тайна -
это научно-техническая, технологическая, коммерческая,
организационная или иная используемая в предпринимательской
деятельности информация, которая обладает действительной или
потенциальной коммерческой ценностью в силу неизвестности ее
третьим лицам, к которой нет свободного доступа на законном
основании, и по отношению к которой владелец информации принимает
адекватные ее ценности правовые, организационные, технические и
иные меры защиты; сведения о сущности изобретения, полезной модели
или промышленного образца до официальной публикации.
4. Что такое режим защиты конфиденциальной информации и кто
его устанавливает? Режим защиты информации - это система
организационных, технических и иных мер, направленных на
обеспечение безопасности (конфиденциальности, целостности,
доступности) информации. В соответствии со статьей 12 ФЗ N24 от
22.02.95 "Об информации, информатизации и защите информации" режим
защиты устанавливает:
- в отношении конфиденциальной документированной
информации - собственник информационных ресурсов или
уполномоченное лицо, на основании настоящего Федерального закона;
- в отношении персональных данных - Федеральный закон.
До выхода Федерального закона персональные данные защищаются в
режиме конфиденциальной информации.
5. Какими правами обладает собственник конфиденциальной
информации и какие права он сам может реализовать? Собственник
имеет право:
- осуществлять контроль за выполнением требований по
защите информации и запрещать или приостанавливать обработку
информации в случае невыполнения этих требований;
- обращаться в органы государственной власти для оценки
правильности выполнения норм и требований по защите информации в
информационных системах.
Соответствующие органы государственной власти определены в
статье 23.46 Кодекса Российской Федерации об административных
правонарушениях от 30 декабря 2001 г. N 195-ФЗ и должны соблюдать
условия конфиденциальности самой информации и результатов
проверки.
6. Какие обязанности у владельца конфиденциальной информации?
В соответствии со статьей 15 ФЗ N24 от 22.02.95 "Об информации,
информатизации и защите информации" владелец конфиденциальной
информации (субъект, осуществляющий владение и пользование
информацией и реализующий полномочия распоряжения ею в пределах,
установленных законом) обязан:
- обеспечить соблюдение режима обработки и правил
предоставления информации пользователю, установленных
законодательством Российской Федерации или собственником;
- нести юридическую ответственность за нарушение правил
работы с информацией в порядке, предусмотренном законодательством.
7. Кто обязан осуществлять контроль за соблюдением требований
к защите информации? (ст. 21 п.3 ФЗ N24) Контроль за соблюдением
требований к защите информации и эксплуатацией специальных
программно-технических средств защиты, а также обеспечение
организационных мер защиты информационных систем, обрабатывающих
информацию с ограниченным доступом в негосударственных структурах,
осуществляются органами государственной власти. Контроль
осуществляется в порядке, определяемом Правительством Российской
Федерации. Такой порядок и определен в пост.290. Лицензирование
деятельности - это и есть форма государственного контроля.
====== end quote =====
|
|
Уточни...плиз 30.07.02 11:40
Автор: DamNet <Denis Amelin> Статус: Elderman
|
> Новый КоаП (административный кодекс) в действии.
Где почитать?
>В
> некоторые банки, предоставляющие услуги клиент-банк
> (удаленное управление счетом) приходят компетентные органы
> и предлагают предоставить им разрешительные документы на
> право занятия деятельностью в области защиты информации
> (т.е. лицензии ФАПСИ). А так как они есть далеко не у всех,
> вспоминаются статьи 13.12 и 13.12 упомянутого кодекса...
Уточни пожалуйста что это за статьи, и почему у них одинаковые номера? :) У нас как раз специальная машинка для управления счетами удалённо, и меня это интересует....
|
| |
Уточни...плиз 30.07.02 11:46
Автор: cybervlad <cybervlad> Статус: Elderman
|
> > Новый КоаП (административный кодекс) в действии.
> Где почитать?
Ну, я откуда знаю, где у тебя ближайший юр. справочник? у нас в сети установлен...
> > вспоминаются статьи 13.12 и 13.12 упомянутого
> кодекса...
> Уточни пожалуйста что это за статьи, и почему у них
> одинаковые номера? :) У нас как раз специальная машинка для
Опечатка - номера 13.12 и 13.13 соответственно ;)
> управления счетами удалённо, и меня это интересует....
Ты в банке работаешь или вы клиенты банка? Если второе - вам лицензия не нужна, можешь не напрягаться.
Статья 13.12. Нарушение правил защиты информации
(это не очень интересно)
Статья 13.13. Незаконная деятельность в области защиты информации
1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), -
влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на должностных лиц - от двадцати до тридцати минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой.
|
| | |
Правильно ли я понимаю? 30.07.02 15:14
Автор: !mm <Ivan Ch.> Статус: Elderman
|
> > > Новый КоаП (административный кодекс) в действии.
> Ты в банке работаешь или вы клиенты банка? Если второе -
> вам лицензия не нужна, можешь не напрягаться.
>
> Статья 13.12. Нарушение правил защиты информации
> (это не очень интересно)
>
> Статья 13.13. Незаконная деятельность в области защиты
> информации
> 1. Занятие видами деятельности в области защиты информации
> (за исключением информации, составляющей государственную
> тайну) без получения в установленном порядке специального
> разрешения (лицензии), если такое разрешение (такая
> лицензия) в соответствии с федеральным законом обязательно
> (обязательна)
Занятие видами деятельности в области защиты информации прдполагает получение дохода от этого?
То есть, я, частное лицо, поставил себе на комп ПГП, создал ПГПдиск, естественно, только я им пользуюсь, подпадает ли это под ст.13.13?
Тот же самый вопрос про юр.лицо - поставила контора себе ПГП и пользуется им.. Но только внутри конторы. Никому информация оттуда не предоставляется и услуги соответственно не оказываются.
Правильно я понимаю, или где-то торможу?
|
| | | |
Правильно ли я понимаю? 31.07.02 08:26
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Занятие видами деятельности в области защиты информации
> прдполагает получение дохода от этого?
Не обязательно. Есть возмездные отноешения, а есть оказание услуг на невозмездной основе.
> То есть, я, частное лицо, поставил себе на комп ПГП, создал
> ПГПдиск, естественно, только я им пользуюсь, подпадает ли
> это под ст.13.13?
Нет. Читай текст внимательно "если закон требует получения лицензии". Когда требуется лицензия подробно изложено в ст. 17 закона "О лицензировании отдельных видов деятельности" (N128-ФЗ, август 2001, позхже ещ едополнения были какие-то).
Использование ПГП в личных целях не требует получения лицензии.
> Тот же самый вопрос про юр.лицо - поставила контора себе
> ПГП и пользуется им.. Но только внутри конторы. Никому
> информация оттуда не предоставляется и услуги
> соответственно не оказываются.
Аналогично. Хоть XORом с константой шифруйте, внутри - это ваше дело ;)
Но! Если вы обрабатываете и защищаете (пусть даже и внутри) информацию, порядок защиты которой определен государством (персональная информация, например) - могут обязать использовать только сертифицированнеы средства и получить лицензию. Но это врядли ;)
> Правильно я понимаю, или где-то торможу?
;))
|
| | | |
Правильно ли я понимаю? 30.07.02 16:17
Автор: vaborg <Israel Vaborg> Статус: Elderman
|
а чему вы собственно удивляетесь все правильно
это и до нового Коапа было только может никто туда не лез без нужды
например в конторе писали майлер типа бата и использовали возможность
криптования сообщений после этого весь продукт должен быть сертифицирован ФАПСИ и писали к нему 10 коробок документации и везли все это им :)
проще говоря если ты пишешь свой криптор (или предоставляешь услиги связи через защищенный канал) то должен у ФАПСИ получить на это разрешение :)
например использование sshd на сервере вполне можно трактовать именно так :)
|
| | | | |
Правильно ли я понимаю? 31.07.02 08:29
Автор: cybervlad <cybervlad> Статус: Elderman
|
> например использование sshd на сервере вполне можно
> трактовать именно так :)
Можно. Но не нужно. Иначе придется всем сносить винды, БСД и прочие разные линуксы - везде криптофункции есть. Равно как и броузеры. А кому такой маразм нужен? ;)
|
| | | | | |
Правильно ли я понимаю? 31.07.02 21:22
Автор: vaborg <Israel Vaborg> Статус: Elderman
|
нет сам ты можешь пользоваться чем угодно насколько я понимаю
а вот давать другим ай ай яй :) то есть в принципе разработчики линуха например должны проходить сертификацию как и мастдай тоже собственно
|
| | | | |
Изврат 31.07.02 01:06
Автор: !mm <Ivan Ch.> Статус: Elderman
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
