Передача VIPNet Client лицензии на пользование

[Avstry]

Добрый день! Имеется такая ситуация.

Организация А имеет VipNet сеть на 200 VipNet Client-ов, имеется организация Б, не имеющая VipNet. В планах наладить взаимодействие с защищенным каналом между двумя организациями, но организация Б vipnet клиент покупать не собирается т.к. это больше нужно организации А. Есть ли возможность предоставить випнет клиенты для организации Б, от орг. А. использоваться будет только VIPNet почта. Я так предполагаю необходимо будет юридический договор о праве передачи или использования и продумать требования и правила организации защиты помещений, где будет установлен випнет? на что ориентироваться т.к. задействованы будут несколько организаций? P/s. понимаю, что это немного бред, но руководству все равно, обдумаю варианты реализации и варианты чтобы это не реализовывать.

[spec89]

Почта идет в составе клиента. Отдельно купить нельзя, соответственно передавать будете клиента. Т.к клиент является СКЗИ, то просто так его передать не получится. Передача СКЗИ это лицензируемый вид деятельности (лицензия ФСБ). Необходимо привлечь организацию имеющие необходимые лицензии.

 

[Vintik]

Ну если это их сеть, то они сами в праве решать кому своих клиентов давать, кто им запретит то? 

На счёт ДП она продаётся отдельно, кому надо покупать могут только роль ДП и использовать без клиента, НО это бред т.к. те кто в теме понимают, без клиента очень сложно в итоге что то понять и настроить, а СКЗИ это всего лишь CSP - да то самое, которое даже свободно можно скачать, запросить номер лицензии и даже признать его как бы номером СЗКИ, однако если у вас что то серьёзное, то такое сложно провести и всё равно потребуется диск CSP, а т.к. у вас ДП и вы поняли, что без клиента это "дурная затея" то проще взять диск клиента и всё.

Диск (где то уже обсуждали не раз) может у организации А быть даже всего 1 на все 200 их да хоть все 2000000 клиентов - он проверен, по КС один и имеют права на всю организацию, но когда надо и там и тут, а тем более ещё кому то передать, то лучше не жмотиться и потратить 200-300 руб на ещё один и его передать. Там свое номерки, формуляр и не будет путать, а вслучае чего и показать могут.

Но конечно какую то отписку организация А может состряпать для себя т.к. если они себе покупали 200, а не кому то продать они конечно не имеют права т.к. конечные пользователи они, но им то и не надо продавать им надо всего лишь "Обеспечить безопасный доступ для такой то ИС" и вот они как раз и обеспечивают предоставляя тем 100 своих клиентов т.к. те входят в эту ИС и пока они ей пользуются, они используют ВИпент, а как перестанут - компрометация АП делается и т.п. 

НО конечно организация Б может сказать мы не будем не какие журналы СЗКИ вести и ставить сертиф. Антивирус и НСД (если это всё требуется при той ИС) и тут уже организации А не куда не деться и всё это будет на их плечах.

Т.е. как итог это можно сказать "грубо" в организации А есть "мобильные" места, которые конечно ограничены будет в ресурсах, но для того они и есть и из любого места могут работать, но с условием, что это у них будет отражено в общем процессе.

[Xenobius]

Нет, без наличия соответствующей лицензии ФСБ другой организации СКЗИ передавать нельзя. И прикинуться шлангом ("я просто передал мобильные места" и т.д.) не получится. Это лицензируемый вид деятельности. И никакие "отписки" в расчёт приниматься не будут. 

[Vintik]

В школах некотрых есть подобные СЕТИ и там по районам клиентов раздают, не каких лиц. не имеют, у инх есть некая система, там должен быть випнет... т.е. всё уже сделано и спокойно передают. Не каких нарушений нет.

[Avstry]

7 минут назад, Vintik сказал:

В школах некотрых есть подобные СЕТИ и там по районам клиентов раздают, не каких лиц. не имеют, у инх есть некая система, там должен быть випнет... т.е. всё уже сделано и спокойно передают. Не каких нарушений нет.

Возможно школам раздавал випнет те кому школы подведомственны? Почитав 152 приказ фапси есть очень много нюансов которые надо соблюсти, нужно определить кто будет выполнять функцию ОКЗ, если организация А, то как выше прокомментировали это лицензируемый вид деятельности, если организация Б, то т.к. им это мало интересно всю документацию, защиту, все дистрибутивы и подобное, нужно организовать организации А все передать и сказать вот так работайте, что очень трудоемко и денежно накладно, т.к. из своего кармана нужно на благотворительность перечислить деньги на обеспечение рабочих мест под скзи) вроде как то так из того что вычитал.

[Xenobius]

2 часа назад, Vintik сказал:

В школах некотрых есть подобные СЕТИ и там по районам клиентов раздают, не каких лиц. не имеют, у инх есть некая система, там должен быть випнет... т.е. всё уже сделано и спокойно передают. Не каких нарушений нет.

Школа - вот вообще не показатель. Когда конторские пойдут школы наказывать - это будет уже полный...  конец.

Вообще, сеть может принадлежать не школе, а, например, департаменту информационных технологий края/области. Вот он и раздаёт ViPNet- клиентов. 

Ещё раз: если "Организация А" передаёт (при чём не важно - за деньги или даром) СКЗИ "Организации В" без лицензии ФСБ - это нарушение Федерального закона "О лицензируемых видов деятельности".

[Vintik]

4 часа назад, Xenobius сказал:

Ещё раз: если "Организация А" передаёт (при чём не важно - за деньги или даром) СКЗИ "Организации В" без лицензии ФСБ - это нарушение Федерального закона "О лицензируемых видов деятельности".

Да это понятно, но что то я сильно сомневаюсь, что если там у них около 200 клиентов (это уже сетка не просто так) то там всяко им кто то поставлял и помогал что то делать, т.к. у кого эта бумажка есть, вот они могли им легко аттестовать что то эту систему и т.п. и  нечего они не нарушают, т.к. там прописано на пример как там по 1119 и д.р. "передаёте другим?" - передаём... и тут сразу значит А КАК ТОГДА, А НАДО ТОГДА .. вот они и покупают чтоб надо эту сеть винет и уже передают - всё, требование СЗКИ выполнели... ну понятно там много ещё "бла-бла-бла", но для этого сеть то и куплена и клиентики...

так что я думаю там думаю всё нормально.

А вот представьте типа они просто докупят в их сеть себе клиентов? Организация Б купит себе в сеть организации А - что поменялось то??? То что они диски купили у инфотекса и всё? ( не напрямую конечно но суть одна) Вот выполнели требования... Ну обслуживают допустим в А те кто имеет бумажку - вопросов нет тогда?

С вами заключат договор и всё, 100 руб вам на чай дадут и будите обслуживать по закону. 

[Xenobius]

Национальные особенности ведения бизнеса можно обсуждать бесконечно. В данном случае говорят о том как НАДО делать, а не как делают некоторые ушлые руководители предприятий. Особенно, если этот руководитель успел соскочить за долго до намечающейся проверки.

Тут же как - всегда есть выбор как поступить. Автор темы пусть уже сам делает выводы.

Кстати, а что значит "Организации Б это всё не нужно и денег они платить не хотят"? Я так понимаю СКЗИ не просто так на ровном месте захотели использовать, а во исполнение какого-то ФЗ или постановления правительства? Если так, то глупость руководителя (и вероятно других ответственных работников) Организации Б просто очевидна.

[zv0r]

Мда. Как по мне, действительно, супер тупо, что необходимо иметь лицензию регулятора, чтобы можно было передать (тем более, бесплатно и в своих же интересах) кому-то программу, которая поможет безопасно передавать данные между организациями. 

[Xenobius]

А с точки зрения лицензирования программного и аппаратного обеспечения, передавать туда-сюда софт и железо, тоже "супер тупо"?

[zv0r]

55 минут назад, Xenobius сказал:

А с точки зрения лицензирования программного и аппаратного обеспечения, передавать туда-сюда софт и железо, тоже "супер тупо"?

Ну вы же его не пиратите, а честно покупаете.

[zero]

57 минут назад, zv0r сказал:

чтобы можно было передать (тем более, бесплатно и в своих же интересах) кому-то программу, которая поможет безопасно передавать данные между организациями

А потом этот кто-то, уже в своих интересах, сольет полученные из Вашей супер защищенной сети перс. или какие там данные Вы защищаете, в интернет. Ведь он СКЗИ не покупал, регламентирующих документов и ПП не читал, квалификации по использованию СКЗИ не имеет, нигде ничего не подписывал и ни за что не отвечает. О какой защите можно говорить?

[Avstry]

28 минут назад, zero сказал:

А потом этот кто-то, уже в своих интересах, сольет полученные из Вашей супер защищенной сети перс. или какие там данные Вы защищаете, в интернет. Ведь он СКЗИ не покупал, регламентирующих документов и ПП не читал, квалификации по использованию СКЗИ не имеет, нигде ничего не подписывал и ни за что не отвечает. О какой защите можно говорить?

Абсолютно согласен, по этому я в лице подчиненного организации А на которого данный вопрос упал не хочу и побаиваюсь этот бред реализовывать через VIPNet нашей лицензии. Нужны были аргументы. Как выяснил с вашей (КОММЕНТАТОРОВ ВЫШЕ) помощью и подтвердил их чтением 152 фапси и форумам по иб. 1. незаконно. 2 юридически очень сложно. 3. Организационно ещё сложнее. Организации Б будет класть на требования ФСБ и ФСТЭК по защите, надеюсь они тоже заинтересуются в данном вопросе и потратят примерно 2к на клиент.

Кстати про сеть в 200 клиентов, бумаги никакой нет, просто приобрели комплект VIPNet, обучение, учебники и в перед)

[zv0r]

46 минут назад, zero сказал:

А потом этот кто-то, уже в своих интересах, сольет полученные из Вашей супер защищенной сети перс. или какие там данные Вы защищаете, в интернет. Ведь он СКЗИ не покупал, регламентирующих документов и ПП не читал, квалификации по использованию СКЗИ не имеет, нигде ничего не подписывал и ни за что не отвечает. О какой защите можно говорить?

Ну, если у организации Б есть какие-то свои интересы в сливе данных, лицензия регулятора организации А от этого не спасет. А чему-то обучить, попросить подписать нужные обязательства можно (было бы) и без лицензии.

Я сейчас не про законность этих действий, а только про их логичность или нелогичность.

Просто я никогда не понимал этой святой непоколебимой веры в орг. меры. Если кому-то надо провернуть свои темные делишки, они это сделают в любом случае. А именно в данной ситуации, если так уж надо организовать взаимодействие между организациями А и Б, при отсутствии в последней специалистов по ЗИ, можно (было бы) рассматривать защищённые узлы из орагнизации Б как часть ИС организации А и силами специалистов организации А держать все в своих ежовых рукавицах. Но это незаконно, поэтому все, что я написал выше, можно игнорировать

[Xenobius]

2 часа назад, zv0r сказал:

Ну вы же его не пиратите, а честно покупаете.

По факту - пиратите. Так как нет сублицензионного договора с вендором на передачу лицензий ViPNet Client' ов.

[zv0r]

37 минут назад, Xenobius сказал:

По факту - пиратите. Так как нет сублицензионного договора с вендором на передачу лицензий ViPNet Client' ов.

Ну тогда облом по всем фронтам  Придется, видимо, организации Б на ногах данные привозить.

[Vintik]

5 часов назад, Xenobius сказал:

По факту - пиратите. Так как нет сублицензионного договора с вендором на передачу лицензий ViPNet Client' ов.

Я не чё не понял, не кто не кому не какие лицензии не передают же!!!??? ОНИ как были в А в ИС как то так и остаются... просто ИС распредёлённая и места находятся за предалми одного здания - что тут удивительно то? ФРДО возьмите только представьте не по 1 шт школы себе а тот же ФУЗ которые берет УЦ и по 3-10 мест и те могут быть в разных точках города по филиалам и даже в другом месте где просто надо.

А КриптоПро сколько раз казначейства и т.п. передают, на пользования, у них что есть ФСБ? Передают и всё... и другие ПОЧТА...

[Xenobius]

У "Казначейства" и "Почты России" (если об этом предприятии речь) есть соответствующие лицензии ФСБ.

При чём тут "Распределённая ИС"? Здесь речь идёт о взаимодействии ДВУХ РАЗНЫХ ЮРИДИЧЕСКИХ ЛИЦ. Пусть даже они действуют в рамках одной той самом распределённой ИС. Это будет означать, что  " Организация А" оказывает шифровальные услуги "Организации Б", передавая лицензии на СКЗИ, оказывая услуги по установке, настройке и сопровождению этого средства защиты информации.

А как Вы будете писать модель угроз персональных данных (например, если они там обрабатываются)? Как опишите владельца ИСПДн, ЦОД и т.д.?

Это в случае головного предприятия и его филиалов можно не заморачиваться с установкой там клиентов, если лицензия принадлежит головному предприятию. Один из филиалов Почты России, кстати, так и сделал в своих почтамтах. В этом случае лицензия ФСБ совершенно не нужна.

[Vintik]

Спасибо за пояснение Xenobius.