Jump to content
elly

возможность обслуживания сети и генерации ключей самостоятельно

Recommended Posts

помогите, пожалуйста, разобраться с не техническими тонкостями. 

Дано:

Государственная ИС (ИСПДн), функции оператора ИС выполняет некоммерческая организация, не имеющая лицензий ФСТЭК и ФСБ. С помощью лицензиата развернута сеть випнет. Ответственный пользователь криптосредств прошел обучение в инфотексе, имеет возможность продлить сертификаты (в которых, насколько я помню,  что-то  написано о возможности предоставления услуг).

Среди пользователей ИС – работники органов гос. власти и других организаций, выполнение определенных функций которых в данной ИС закреплено законодательно. Небольшая часть вышеупомянутых организаций в силу непреодолимых обстоятельств (например, удаленные сельские районы или не положено) не имеет подключения к ГМСПД и работает в ИС через випнет монитор как абонентский пункт сети випнет организации-оператора. Сеть ГМСПД - доверенная по отношению к сети оператора. В самой организации-операторе также есть несколько рабочих мест, подключенных через випнет монитор.

ИС дважды успешно прошла аттестацию, к которой организация-оператор готовилась с привлечением лицензиата. По изданным при первой аттестации документам организация-оператор являлась органом криптозащиты в своей сети випнет и могла генерировать ключи для использования внутри себя и внутри своей сети випнет. При второй аттестации, документы которой я сейчас разбираю,  про это не было упомянуто.

Вопрос:

возможно ли создание ключей работником организации-оператора для передачи их ОГВ и прочим организациям-пользователям ИС? а для установки на рабочих местах работников организации-оператора? вроде как, эксплуатация СКЗИ - это нелицензируемый вид деятельности, согласно ПП №313.

имеет ли смысл ответственному пользователю криптосредств для этого в очередной раз подтвердить сертификат в инфотексе?

(договор с лицензиатом есть, но хотелось бы с ключами справиться своими силами, если это возможно)

Share this post


Link to post
Share on other sites

Если вы являетесь владельцем сети (Администраторам УКЦ ЦУС), то кто вам запретить может выдавать (генерировать) ключи и т.п.? Кому хотите тому и давайте, вопрос лишь в том, как у вас ИСПДн организована, скорее всего тут придётся больше думать. Потом уже "обучить" и выполнить требования СКЗИ (если потребуется то приобрести ПО (СКЗИ, АНТ, НСД) инструкции завести, журналы и т.п. у оператора). Ну и не забывать, что передача должна быть так же по требованиям (лично в руки или по доверенным каналам).

Послушаем конечно ещё мнение. 

Share this post


Link to post
Share on other sites
1 час назад, Vintik сказал:

Если вы являетесь владельцем сети (Администраторам УКЦ ЦУС), то кто вам запретить может выдавать (генерировать) ключи и т.п.? Кому хотите тому и давайте,

Вот тут не согласен. В соответствии с п.1 ч.1 ст.12 Федерального закона от 04.05.2011 г. 99-ФЗ "О лицензировании отдельных видов деятельности":

Цитата

 разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)

Т.е. "кому угодно" раздавать ключи, в соответствии с требованиями ФЗ, не получится. Как указано, осуществлять какую-либо деятельность с шифровальными средствами без наличия соответствующей лицензии ФСБ можно только "для собственных нужд юридического лица или индивидуального предпринимателя".

По вопросу elly не совсем понятно - Вы интересуетесь по продлению лицензии именно ФСБ, или по сертификату (какому-то) от "ИнфоТеКС"? Что именно это за сертификат от производителя? На что именно - партнерство, обученный персонал (администратор или инженер)?

Share this post


Link to post
Share on other sites
53 минуты назад, Xenobius сказал:

По вопросу elly не совсем понятно - Вы интересуетесь по продлению лицензии именно ФСБ, или по сертификату (какому-то) от "ИнфоТеКС"? Что именно это за сертификат от производителя? На что именно - партнерство, обученный персонал (администратор или инженер)?

работник организации-оператора прошел обучение в инфотекс. у него есть корочки о прохождении обучения (2 курса) и сертификаты, подлежащие подтверждению ежегодно, вот такого типа (первый попавшийся нагугленный): mda_adm.jpg

у работника организации-оператора таких сертификата 2: администратор и инженер.

меня интересует, что в данном случае означает фраза "дает право оказывать услуги...", и дает ли данный сертификат право оказывать услуги в описанной мною ситуации, т.е. генерировать ключи не только для собственных нужд, но и для работы других организаций в собственной сети.

Share this post


Link to post
Share on other sites

Так это в корне разные вопросы. Этот сертификат - подтверждение того, что конкретный работник имеет технические навыки для работы с комплексом VipNet для Windows. К ПП-313 это не имеет вообще никакого отношения. В этом постановлении говорится о наличии совершенно другой необходимой квалификации, зависящей от исполняемого виды деятельности. Если стоит вопрос продления именно этого сертификата - то, думаю, это на усмотрение именно этого работника и организации владельца сети. Если возможность и деньги есть - значит нужно ехать учиться. Правда есть другой момент - в случае проведения проверки ФСБ или ФСТЭК могут спросить: "Кто создавал сеть? Кто эксплуатирует? Кто осуществляет техническую поддержку". И если такого действующего сертификата не будет - это будет лишний повод написать замечание, что сеть сопровождает не квалифицированный именно у этого вендора специалист. Оборудование, ведь, специфическое, информации по настройке и сопровождению в открытых источниках практически нет. Поэтому, отвечая на Ваш вопрос в самом первом сообщении - я думаю, что смысл продлевать сертификаты есть. Тем более, что Вы из гос. организации - как известно тут проверке чаще, и контролирующих органов больше, чем проверяющих коммерческие компании.

А вот, что касается требований к персоналу по ПП-313, то там мало иметь такой сертификат от ИнфоТеКСа, как Вы привели в качестве примера. Ответственный работник должен иметь профильное образование по информационной безопасности, либо пройти курсы повышения квалификации (переквалификации) по информационной безопасности, в размере 100, 500 или 1000 аудиторных часов, в зависимости от занимаемой должности (технический специалист или руководитель) и выполняемого вида деятельности. Собственно, в учебном центре ИнфоТеКСа (как и в других учебных центрах) такой курс тоже есть, длится он порядка 4-5 месяцев ,в зависимости от требуемого количества аудиторных часов.

Share this post


Link to post
Share on other sites
1 час назад, Xenobius сказал:

.... можно только "для собственных нужд юридического лица иди индивидуального предпринимателя".....

Так я и понял они для своих нужд, т.е. своим же операторам выдают ключи, ни каких собственных СКЗИ они не производят, не продают и не внедряют.

Сертификаты от Инфотекса, это хорошее подтверждение, что человек может использовать их ПО, хотя он так же может и от Кода Б. или от Стерра внедрять продукты, т.к. скорее всего имеет общую подготовку по СКЗИ, а не шарлотан как я допустим.

Конечно, если речь идёт о внедрении как сторонняя организация и там где требуется лиц. ФСБ, то сертификаты от инфотекс помогут только в том, если те кто имеют серт. ФСБ наймут этого человека для работы. 

Share this post


Link to post
Share on other sites

простите, но вопрос звучал немного иначе: 

возможно ли согласно действующим НПА создание ключей прошедшим обучение работником организации-оператора, которая является владельцем сети випнет, для передачи их организациям-пользователям ИС, которые работают в этой сети, и для установки на рабочих местах работников организации-оператора?

все остальное - уточнения, на мой взгляд, необходимые для прояснения текущей ситуации.

в рамках данной темы я не касаюсь вопросов обучения работников, получения лицензий и выполнения требований законодательства по защите пдн)

Share this post


Link to post
Share on other sites
3 минуты назад, Vintik сказал:

Так я и понял они для своих нужд, т.е. своим же операторам выдают ключи, ни каких собственных СКЗИ они не производят, не продают и не внедряют.

А вот это - очень большой вопрос, на который нет однозначного ответа. Что значит "собственные нужды"? Из-за того, что в ФЗ нет чёткого определения этого понятия, мнения делятся на два лагеря. Одни считают, что "собственные нужды" - это эксплуатация шифровальных средств в рамках одного юридического лица. Лично я придерживаюсь такого мнения.

Другие считают, что можно выдавать ключи шифрования вообще всем подряд (другим юридическим и физическим лицам), но на безвозмездной основе и для каких-то "собственных" нужд организации владельца ViPNet-сети. Считаю это не правильным, хотя бы потому, что это суждении вообще никак не коррелирует с Инструкцией ФАПСИ №152 (не буду вдаваться в подробности).

3 часа назад, elly сказал:

Среди пользователей ИС – работники органов гос. власти и других организаций, выполнение определенных функций которых в данной ИС закреплено законодательно. Небольшая часть вышеупомянутых организаций в силу непреодолимых обстоятельств (например, удаленные сельские районы или не положено) не имеет подключения к ГМСПД и работает в ИС через випнет монитор как абонентский пункт сети випнет организации-оператора. Сеть ГМСПД - доверенная по отношению к сети оператора. В самой организации-операторе также есть несколько рабочих мест, подключенных через випнет монитор.

В данном рассматриваемом случае идёт прямое упоминание того, что ключи передаются и сторонним организациям. Поэтому считаю, что кроме всего прочего необходима лицензия ФСБ на деятельность с шифровальными средствами. То, что ИС проходила аттестацию, это, безусловно, хорошо. Но право на эксплуатацию СКЗИ, получается, в данном случае под вопросом. К тому же учитывая, что речь идёт о государственном предприятии - странно, что проверяющие из УФСБ до сих туда не заглянули.

По поводу обсуждения понятия "собственные нужды" приведу пару ссылок ИБ-блогера Сергея Борисова, там весьма интересное обсуждение этого понятия и применения криптографии в целом. В целом я с ним согласен. Но сразу замечу - он заместитель директора по ИБ в одном интеграторе, со всеми вытекающими из этого особенностями... ;)

Share this post


Link to post
Share on other sites
22 минуты назад, Xenobius сказал:

А вот это - очень большой вопрос, на который нет однозначного ответа. Что значит "собственные нужды"? Из-за того, что в ФЗ нет чёткого определения этого понятия, мнения делятся на два лагеря. 

поэтому я и не могу определиться, можно или нет)

забыла добавить в 1 сообщении, что ключи выдаются безвозмездно, и пользование ИС тоже безвозмездно

организация не является госорганом. выдача ключей планируется, и я выясняю, как это сделать правильно.

спасибо за ссылки.

Share this post


Link to post
Share on other sites

насколько я поняла из 2 ссылки, ОКЗИ в подобных случаях, когда у оператора нет лицензии, является лицензиат ФСБ, и он должен контролировать выполнение всех изложенных в документации требований? т.е. существующего договора с лицензиатом (техзащита) мало, нужен еще договор на ОКЗИ?

Share this post


Link to post
Share on other sites

Ссылки хорошие, тоже соглашусь, спасибо.

На счёт договоров на ОКЗИ не уверен, т.к. я понял у вас уже есть некая ИСПДн, атетстованая, где чётко прописано как её использовать, и так же указано, что при подключении операторов (а кто они это уже вам решать), они должны использовать определённые меры, в том числе и канал СКЗИ Випент. И вот тут как раз вы выполняете то, что вам прописали ОКЗИ и это их ответственность, а выполнение - это ваша и тут не кто следить за этим не станет (обычно).

На пример я стану вашим операторам, вы впишиет мня, возьмёте о неразглашении, по всем правилам инструкциям ознакомите, обязуете применять всё и тогда выдадите мне ключ, т.е. просто "допуск". А если я не использую серт. антивирус на пример, что требует СКЗИ или на НСД не стал тратиться, что требуется в общем к раб. месту, то виноват уже я (хотя без этих данных вы мне и ключа не дадите по сути).

Но это всё условно, т.к. обычно ИСПДн вроде подразумевает уже какое то кол-во участников, хотя у вас всё по другому может быть.

===

Как например вот подключаются к неким порталам по докуемнтообороту и т.п.?

Той же россакредитации, есть требования приобрести СКЗИ ВИпнет КС3 и КЭП, дальше они получают ключи и вперёд, НО кто то требует от них атетстованное место и все данные которое нужно реально для КС3? А сколько бухгалтеров (я в общем беру всех кто сдаёт отчётность) все работают с СКЗИ и понятно только по ГОСТ, но.....

===

Так что мне кажется, когда есть ИСПДн и ".. ИС дважды успешно прошла аттестацию .."  то надо перечитать документы по Атетстации, как там изложена модель угроз, какие функции определены и как должны исполняться. Допустим там написано, что участники при подключении удалённо по открытым сетям (не в рамках локальной сети (ДМЗ)), должны обеспечить подключение по шифрованному "ГОСТовому" каналу, для чего применяется ПО Випент имеющее действующий сетификат...

Вот и всё вроде, канал обеспечили - да. Предупредили оператора, что при использовании СКЗИ надо выполнять требования ФСБ - да, Взяли автографы. если требуется, что ознакомлены с инструкциями, вводный инструктаж провели, а что там дальше будет (ну про КС в росакред. я уже не стану вспоминать).

Share this post


Link to post
Share on other sites

дополнительный нюанс.

ПО випнет, установленное в абонентских пунктах организаций-пользователей, принадлежит организации-оператору.

Share this post


Link to post
Share on other sites
38 минуты назад, Vintik сказал:

На счёт договоров на ОКЗИ не уверен, т.к. я понял у вас уже есть некая ИСПДн, атетстованая, где чётко прописано как её использовать, и так же указано, что при подключении операторов (а кто они это уже вам решать), они должны использовать определённые меры, в том числе и канал СКЗИ Випент. И вот тут как раз вы выполняете то, что вам прописали ОКЗИ и это их ответственность, а выполнение - это ваша и тут не кто следить за этим не станет (обычно).

В соответствии с Инструкцией ФАПСИ №152 ОКЗИ в любом случае должен быть. Либо свой (при наличии лицензии ФСБ), либо сторонний по заключению договора с лицензиатом ФСБ.

38 минуты назад, Vintik сказал:

Вот и всё вроде, канал обеспечили - да. Предупредили оператора, что при использовании СКЗИ надо выполнять требования ФСБ - да, Взяли автографы. если требуется, что ознакомлены с инструкциями, вводный инструктаж провели, а что там дальше будет (ну про КС в росакред. я уже не стану вспоминать).

Здесь Вы описали исполнение требований ст. 18.1 и 19 152-ФЗ "О персональных данных" по обеспечению безопасности обработки ПДн. Но требования ФСБ для всего этого, получается, не учитываются от слова "никак". ;) В том-то и заключается самая большая сложность убедить работодателя/клиента, что мало исполнить требования ФЗ. Нужно ещё их правильно исполнить.

30 минуты назад, elly сказал:

дополнительный нюанс.

ПО випнет, установленное в абонентских пунктах организаций-пользователей, принадлежит организации-оператору.

То есть, абонентские пункты не являются именно клиентами Вашей сети (вашей лицензии)? У вас установлено межсетевое взаимодействие с другими ViPNet-сетями? Если это так, то тогда нет необходимости получать лицензию именно на лицензируемый вид деятельности с шифровальными средствами, нормально отрабатывается понятие "для собственных нужд". Но с ОКЗИ для себя всё равно что-то нужно решать. А это, получается, либо получать, всё же, свою лицензию, либо заключать договор на оказание услуг ОКЗИ с кем-то другим. Потому что по факту вы всё равно, тем или иным способом, эксплуатируете СКЗИ.

Share this post


Link to post
Share on other sites
17 минуту назад, elly сказал:

дополнительный нюанс.

ПО випнет, установленное в абонентских пунктах организаций-пользователей, принадлежит организации-оператору.

Ну вот видите, т.е. мне не видать подключения к вам если я не буду работать в вашей организации, тогда и вовсе получается "обычная" распределённая ИСПДн внутри организации. Ключи генирить вы можете как новым сотрудникам (операторам) так и прежним (может у вас по регламенту прописано менять их кажды пол года и выдавать лично в руки, откуда нам знать) и всё ограничение, ограничиваются структурой ИСПДн (на пример у вас там прописано 33 соединения, а вы решили увеличить до 33000, то коенчно уже тут может и уровень другой появиться и требования т.к. данные значительно расширятся).

Share this post


Link to post
Share on other sites

С одной стороны, казалось бы, лучше получить лицензию ФСБ на деятельность с шифровальными средствами - и нет вопросов. Да, это не очень дешёвое дело (аттестация объекта информатизации, где располагаются технические средства, на которых функционирует ЦУС и УКЦ), формирование всех необходимых документов, получение самой лицензии. Необходимые документы, обычно, формирует та же фирма, которая производится аттестацию ОИ. Сейчас достаточно много таких фирм, которые помогают получить такую лицензию - были бы деньги.

Но с другой стороны, и это наиболее отталкивающий от такого шага фактор - получив лицензию Ваша компания станет объектом регулярных (плановых и внеплановых) проверок ФСБ в рамках этого вида деятельности.

Консультироваться по этому поводу с "конторой" смысла нет, скорее всего ответ будет "Да, лицензия нужна".

Share this post


Link to post
Share on other sites
15 минуту назад, Xenobius сказал:

То есть, абонентские пункты не являются именно клиентами Вашей сети (вашей лицензии)? У вас установлено межсетевое взаимодействие с другими ViPNet-сетями? Если это так, то тогда нет необходимости получать лицензию именно на лицензируемый вид деятельности с шифровальными средствами, нормально отрабатывается понятие "для собственных нужд". Но с ОКЗИ для себя всё равно что-то нужно решать. А это, получается, либо получать, всё же, свою лицензию, либо заключать договор на оказание услуг ОКЗИ с кем-то другим. Потому что по факту вы всё равно, тем или иным способом, эксплуатируете СКЗИ.

абонентские пункты используют лицензии организации-оператора ИС (по совместительству, владельца сети випнет), но работают там не везде работники организации-оператора, причем, абсолютно безвозмездно)

это можно назвать "для собственных нужд"?

15 минуту назад, Xenobius сказал:

У вас установлено межсетевое взаимодействие с другими ViPNet-сетями?

да, пользователями других сетей випнет управляют организации-владельцы этих сетей.

15 минуту назад, Xenobius сказал:

В соответствии с Инструкцией ФАПСИ №152 ОКЗИ в любом случае должен быть. Либо свой (при наличии лицензии ФСБ), либо сторонний по заключению договора с лицензиатом ФСБ.

договор есть.

денег нет.

приходится экономить на всем, что не запрещено законодательно..

Share this post


Link to post
Share on other sites
6 минут назад, Xenobius сказал:

...Здесь Вы описали исполнение требований ст. 18.1 и 19 152-ФЗ "О персональных данных" по обеспечению безопасности обработки ПДн. Но требования ФСБ для всего этого, получается, не учитываются от слова "никак". ;) В том-то я заключается самая большая сложность убедить работодателя/клиента, что мало исполнить требования ФЗ. Нужно ещё их правильно исполнить....

Ага. Спасибо за разъяснения. Приятно читать, даже все пункты знаете.

НО как же тогда Выполнения и Аттестат (на 3 года они же максимум), не имеет ли это тот же смысл, что я выполняю все требования, если в течении отведённого времени не нарушаю то что там написано. Зачем мне ещё договор с ними не понимаю? Я обучился (Ну.. это.. доп. курс на 1056 ч. прошёл, выбрал тему "Криптографи" на троечку :wub: ). Что мне даст этот договор не могу точно понять?

Share this post


Link to post
Share on other sites

Он даст исполнение требований документов ФСБ по вопросам касающихся эксплуатации СКЗИ, не зависимо от обработки ПДн. Аттестовали ИСПДн по требованиям обработки этих самых ПДн в ней в соответствии с ФЗ - всё хорошо, тут вопросов нет. Но я сейчас вообще не про ПДн. Я про СКЗИ. Но даже если и про ПДн - мало просто установить и запустить эти СКЗИ для обеспечения безопасности обработки ПДн. Эти СКЗИ нужно ещё правильно эксплуатировать. А тут уже аттестат на ИСПДн не причём.

Share this post


Link to post
Share on other sites

А кто их не правильно будет обеспечивать, если все указания получили? Ключевые носители в сейфах, как написано.

А те кто типа ОКЗИ как бы если бы и были, то больше чем эти же инструкции не дадут, максимум проверят, что СКЗИ введены верно, но они же и вводили, и используются верно, но они же и обучили и инструкции дали.

Или вы думаете от договора они будут каждый день ездить в района за 100-500 км и смотреть, а верно ли там сегодня пользователь включил ПК т.к. там СКЗИ всё равно так и так обязывают вводить и не кто не когда не будет обучать и в штат специально брать сотрудника, хорошо если там хоть сист. адм. администратор есть.

Думаю они заключат договора по возможности, с теми, кто будет аттестовал, т.к. всё равно не чего им делать уже не надо будет т.к. всё сделано, но как вариант типа договор есть и не надо не чего платить, так же тоже пойдёт? 

Share this post


Link to post
Share on other sites

кстати, при последующей аттестации мы будем согласовывать с ФСБ модель угроз)

Share this post


Link to post
Share on other sites

ФСБ разве этим занимается? Они могут сказать - это не наше дело, чтоб на себя не брать всю "вину", они обычно любят только проверять и указывать недочёты.

Но как вариант договора с теми кто делал аттестат думаю не плохо было бы, и им как бы хорошо, след переатестацию значит у них будете делать и у вас тот самый договор на оказание услуг ОКЗИ есть. Как бы и "И волки сыты и овцы на в порядке" :-)

Share this post


Link to post
Share on other sites
9 часов назад, elly сказал:

кстати, при последующей аттестации мы будем согласовывать с ФСБ модель угроз)

С ФСБ Вы должны (опять же - раз вы не гос. предприятие, то можете изъявить добровольное желание, или можете не изъявлять его) будете согласовывать "Модель нарушителя". Точнее, в соответствии с приказом ФСБ от 10.07.2015 №378-п, "Совокупность предположений...". "Модель угроз" - это про ФСТЭК.

51 минуту назад, Vintik сказал:

ФСБ разве этим занимается? Они могут сказать - это не наше дело, чтоб на себя не брать всю "вину", они обычно любят только проверять и указывать недочёты.

Это зависит от множества факторов... Поэтому нельзя однозначно утверждать. Насколько я помню, отраслевые модели гос. компаний именно необходимо согласовывать с регуляторами. Частные модели, тем более коммерческих фирм - по желанию.

Коллеги, вы поймите разницу^ аттестация ИСПДн - это одно, исполнение требований по эксплуатации и хранении СКЗИ, даже входящих в уже аттестованную ИСПДн - это совершенно другое, никак не связанное между собой.

Share this post


Link to post
Share on other sites
В 07.08.2017в13:44, elly сказал:

возможно ли создание ключей работником организации-оператора для передачи их ОГВ и прочим организациям-пользователям ИС?
а для установки на рабочих местах работников организации-оператора?

Что такое лицензия на встраивание СКЗИ и когда она нужна.
Общий смысл: если нет деятельности (договора подряда, оказания услуг и т.п.), то нет и предмета лицензирования.
Правда, чтобы защитить такую позицию, ваши технические специалисты, юристы и руководство должны её выработать и, самое главное, быть готовы её отстаивать. Ну и, само собой, иметь грамотно оформленные документацию и инструкции.

Share this post


Link to post
Share on other sites

Ключевая фраза - "готовы отстаивать". При чём отстаивать в процессе той же проверки её скорее всего не придётся. Так как офицер ФСБ, послушав какие-то доводы, просто напишет предписание об устранении выявленных нарушений, например, в полуторамесячный срок. И придётся отстаивать эту позицию уже в суде. Так как проверяющий в любом случае выносит предписание об устранении выявленных, пускай даже на его взгляд, нарушений. И просто предъявляет их руководителю предприятия. Оспаривать это предписание можно только в суде. Ваши юристы и технические специалисты с начальниками готовы судиться с ФСБ? Если да, то тогда искренне желаю удачи.

А какой-либо документ, на основании которого осуществляется подключение к сети пользователей существует? Например, регламент удостоверяющего центра? И договор присоединения к этому регламенту? Или всё настолько просто, что можно прийти, сказать: "Подключите меня. Пожалуйста!" и сразу выдадут комплект из установочного набора и dst-файла, даже не спросив необходимый перечень персональных данных для выпуска сертификата? Кстати, если используется электронная подпись, а не просто туннелирование между сетевыми узлами, то АРМ админа сети - это тоже ИСПДн, со всеми вытекающими в виде моделей угроз и нарушителя, установленных на этом АРМ СЗИ от НСД и т.д.

Вместо того, чтобы искать дыры в законодательстве (а это не может продолжаться сколь-нибудь долго) иногда, всё же, стоит попытаться максимально возможно выполнить требования этого самого законодательства.

Share this post


Link to post
Share on other sites
3 часа назад, basid сказал:

Вот тот же самый вопрос, на который, к сожалению, по ссылке нет ответа, что значит "для себя"? Для тех самых "собственных нужд"? Для использования в пределах одного предприятия, или его филиальной сети, только для работников только этого предприятия и/или работников филиалов только этого предприятия? Да, тогда лицензия не нужна... В противном случае, получается предоставление услуг, пусть даже безвозмездных, другим предприятиям. Да и заметка несколько устаревшая, как мне кажется. В ПП-313 же говорится не только о "разработке", но и о других видах  деятельности, к каждому из которых предъявляются свои требования. В данном случае будет осуществляться не разработка и встраивание СКЗИ, а, например, внедрение.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.