funt Опубликовано 29 Августа 2012 Жалоба Поделиться Опубликовано 29 Августа 2012 Хотим организовать Удостоверяющий центр по выдачи ЭЦП на базе организации. Подскажите какие документы и лицензии для этого нужно. Лизензии ФСБ по обслуживанию, разработке и распространению криптосредств уже получили... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pharaon Опубликовано 29 Августа 2012 Жалоба Поделиться Опубликовано 29 Августа 2012 Хотим организовать Удостоверяющий центр по выдачи ЭЦП на базе организации. Подскажите какие документы и лицензии для этого нужно. Лизензии ФСБ по обслуживанию, разработке и распространению криптосредств уже получили...С мая 2012го есть одна лицензия касающаяся деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) с перечнем видов деятельности http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=128739Для УЦ, по моему мнению, необходимы7. Производство (тиражирование) шифровальных (криптографических) средств.11. Изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах.12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).21. Передача шифровальных (криптографических) средств.22. Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.24. Передача средств изготовления ключевых документов.25. Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.26. Предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
funt Опубликовано 29 Августа 2012 Автор Жалоба Поделиться Опубликовано 29 Августа 2012 С мая 2012го есть одна лицензия касающаяся деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) с перечнем видов деятельности http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=128739Для УЦ, по моему мнению, необходимы7. Производство (тиражирование) шифровальных (криптографических) средств.11. Изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах.12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).21. Передача шифровальных (криптографических) средств.22. Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.24. Передача средств изготовления ключевых документов.25. Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.26. Предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.нам выдали 3 лицензии по 957 постановлению я так понял, я когда сказал им что оно утратило силу они на меня посмотрели удивленными глазами...в своем вопросе про УЦ я имел ввиду какие документы надо разрабатывать, там же еще надо регистрировать его в типа как ЕГРЮЛ для юр лиц а это для УЦ Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pharaon Опубликовано 30 Августа 2012 Жалоба Поделиться Опубликовано 30 Августа 2012 нам выдали 3 лицензии по 957 постановлению я так понял, я когда сказал им что оно утратило силу они на меня посмотрели удивленными глазами...в своем вопросе про УЦ я имел ввиду какие документы надо разрабатывать, там же еще надо регистрировать его в типа как ЕГРЮЛ для юр лиц а это для УЦнаверное вы документы на лицензии подавали в марте-апреле.по документам не подскажу Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 4 Сентября 2012 Жалоба Поделиться Опубликовано 4 Сентября 2012 Хотим организовать Удостоверяющий центр по выдачи ЭЦП на базе организации. Подскажите какие документы и лицензии для этого нужно. Лизензии ФСБ по обслуживанию, разработке и распространению криптосредств уже получили...Документы следующие:1. Регламент удостоверяющего центра.2. Приказ об организации удостоверяющего центра.3. Приказ о назначении уполномоченного лица.4. Журнал учёта СКЗИ, документации и ключей.5. Прочая бюрократия по ФАПСИ-152.6. Письмо в минкомсвязь для включения сертификата в перечень. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Savas Опубликовано 11 Октября 2012 Жалоба Поделиться Опубликовано 11 Октября 2012 Опишу ситуацию:Есть группа компаний: К1, К2, К3, К4, К5. В группе компаний задействован электронный документооборот. Соответственно, согласование документов происходит путем подписания документов ЭП (ЭЦП). Все сертификаты для подписания выдаются Центром сертификации, установленном в компании К1. На данный момент сертификаты используются только внутри компании. Задача следующая: Необходимо документально оформить легетимность использования ЭП (ЭЦП) внутри группы компаний. По этому поводу хочу проконсультироваться у Вас, уважаемые, по следующим вопросам:1. Какой комплект документов должен быть разработан в соответствии с описанной схемой2. Какие законы утверждают комплект этих документов Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 11 Октября 2012 Жалоба Поделиться Опубликовано 11 Октября 2012 Опишу ситуацию:Есть группа компаний: К1, К2, К3, К4, К5. В группе компаний задействован электронный документооборот. Соответственно, согласование документов происходит путем подписания документов ЭП (ЭЦП). Все сертификаты для подписания выдаются Центром сертификации, установленном в компании К1. На данный момент сертификаты используются только внутри компании. Задача следующая: Необходимо документально оформить легетимность использования ЭП (ЭЦП) внутри группы компаний. По этому поводу хочу проконсультироваться у Вас, уважаемые, по следующим вопросам:1. Какой комплект документов должен быть разработан в соответствии с описанной схемой2. Какие законы утверждают комплект этих документовЧтобы узаконить данный документооборот, необходимо иметь соглашения между данными организациями.Вопросы электронной подписи регулируются законом "Об электронной подписи":1. Статья 3, часть 1 - "Отношения в области использования электронных подписей регулируются ...., а также соглашениями между участниками электронного взаимодействия. .... Если иное не установлено федеральными законами, то порядок использования электронной подписи регулируется оператором данной системы или участников документооборота". (немного перефразированный отрывок закона).2. Особенности возникают в части электронной подписи для государственных структур (и при взаимодействии с государственными структурами) или, к примеру, при передаче в электронном виде счетов-фактур (для которых установлен особый порядок).3. Также удостоверяющий центр обязан вести реестр сертификатов.Таким образом, если судить по закону, то основной документ, который требуется Вашим организациям - соглашения друг с другом. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Savas Опубликовано 16 Октября 2012 Жалоба Поделиться Опубликовано 16 Октября 2012 Таким образом, если судить по закону, то основной документ, который требуется Вашим организациям - соглашения друг с другом.Большое спасибо. Теперь возникает вопрос, сколько этих соглашений должно быть.1. Единое соглашение, в котором прописано, что между компаниями реализован электронный документооборот с использованием ЭП, в рамках которого все сертификаты выдаются ЦС, зарегистрированным в компании К1. 2. Много соглашений между каждой из компаний. Этот вариант, видится, менее предпочтительный.Также буду очень признателен за полезные советы по структуре Соглашения, то есть из каких разделов оно должно состоять, возможно есть полезные статьи/рекомендации по этому поводу. Заранее спасибо Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 16 Октября 2012 Жалоба Поделиться Опубликовано 16 Октября 2012 Большое спасибо. Теперь возникает вопрос, сколько этих соглашений должно быть.1. Единое соглашение, в котором прописано, что между компаниями реализован электронный документооборот с использованием ЭП, в рамках которого все сертификаты выдаются ЦС, зарегистрированным в компании К1.2. Много соглашений между каждой из компаний. Этот вариант, видится, менее предпочтительный.Также буду очень признателен за полезные советы по структуре Соглашения, то есть из каких разделов оно должно состоять, возможно есть полезные статьи/рекомендации по этому поводу. Заранее спасибоНа самом деле, пресловутый Регламент удостоверяющего центра - тоже своего рода соглашение, когда организации, пользующиеся услугами централизованного оператора подписывают заявление о присоединении к нему. Эта система используется многими удостоверяющими центрами. У нас головная организация предложила единый регламент, который является приложением к типовому соглашению. Это соглашение мы должны заключать с каждым взаимодействующим субъектом. Вариант с регламентом и присоединением к нему выглядит более привлекательным. Структура у него обычно следующая:Статус документа, общие положения, термины и определенияПорядок присодинения и расторжения, дополнения.Права и обязанности сторонОтветственность сторонРешение споровПорядок предоставления и пользования услугами (выдача ЭП, аннулирование, приостановление, экспертиза).О средствах ЭП и сертификатахКонфединциальностьФорс-мажорЗаключительные положенияПримеров в сети много. Любой регламент удостоверяющего центра. Если нужно - кину наш пример в личку. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
fedro Опубликовано 17 Октября 2012 Жалоба Поделиться Опубликовано 17 Октября 2012 На самом деле, пресловутый Регламент удостоверяющего центра - тоже своего рода соглашение, когда организации, пользующиеся услугами централизованного оператора подписывают заявление о присоединении к нему. Эта система используется многими удостоверяющими центрами. У нас головная организация предложила единый регламент, который является приложением к типовому соглашению. Это соглашение мы должны заключать с каждым взаимодействующим субъектом. Вариант с регламентом и присоединением к нему выглядит более привлекательным. Структура у него обычно следующая:Статус документа, общие положения, термины и определенияПорядок присодинения и расторжения, дополнения.Права и обязанности сторонОтветственность сторонРешение споровПорядок предоставления и пользования услугами (выдача ЭП, аннулирование, приостановление, экспертиза).О средствах ЭП и сертификатахКонфединциальностьФорс-мажорЗаключительные положенияПримеров в сети много. Любой регламент удостоверяющего центра. Если нужно - кину наш пример в личку.Схожий вопрос возник у нашей организации. Возможно ли при всем при этом организовать обмен персональными данными, который бы не противоречил 152ФЗ, приказу фстэк 781? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 17 Октября 2012 Жалоба Поделиться Опубликовано 17 Октября 2012 Схожий вопрос возник у нашей организации. Возможно ли при всем при этом организовать обмен персональными данными, который бы не противоречил 152ФЗ, приказу фстэк 781?Чтобы не противоречить закону и, в случае если вы не ведёте обработку и передачу в соответствии с какими-либо федеральными законами (в которых прописано что кому и в каком объёме передаётся), то с каждого субъекта персональных данных нужно брать согласие на передачу в определённые организации данных в определённом объёме. А между организациями должно быть соглашение, в котором оговорена обязанность обеспечивать конфиденциальность (и желательно даже расписать каким образом и какими методами). Но при любых соглашениях без наличия согласия субъекта (за исключением работы по ФЗ или случаев, когда согласие не требуется) обмен данных будет являться незаконным. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
fedro Опубликовано 17 Октября 2012 Жалоба Поделиться Опубликовано 17 Октября 2012 Чтобы не противоречить закону и, в случае если вы не ведёте обработку и передачу в соответствии с какими-либо федеральными законами (в которых прописано что кому и в каком объёме передаётся), то с каждого субъекта персональных данных нужно брать согласие на передачу в определённые организации данных в определённом объёме. А между организациями должно быть соглашение, в котором оговорена обязанность обеспечивать конфиденциальность (и желательно даже расписать каким образом и какими методами). Но при любых соглашениях без наличия согласия субъекта (за исключением работы по ФЗ или случаев, когда согласие не требуется) обмен данных будет являться незаконным.Согласие и все необходимое -есть по организации обработки, хранении итд итп.Есть вопрос в плане технической части - каким продуктами vipnet это можно организовать.Как я понял - это vipnet clienet(деловая почта)+ vipnet клиент монитор.т.о. остается получить лицензии у фсб на криптографию и шифрование, поставить всю это технику на отдельный сервер, подписать соглашения о взаимодействии с нашим уц (работы по вышенаписанному) и обмениваться уже персональными данными? Или есть еще какие-то требования под это? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 17 Октября 2012 Жалоба Поделиться Опубликовано 17 Октября 2012 Согласие и все необходимое -есть по организации обработки, хранении итд итп.Есть вопрос в плане технической части - каким продуктами vipnet это можно организовать.Как я понял - это vipnet clienet(деловая почта)+ vipnet клиент монитор.т.о. остается получить лицензии у фсб на криптографию и шифрование, поставить всю это технику на отдельный сервер, подписать соглашения о взаимодействии с нашим уц (работы по вышенаписанному) и обмениваться уже персональными данными?Или есть еще какие-то требования под это?Требований хватает. Лицензия ФСБ - обязательно, если кто-то будет оператором для других организаций. Для этого, чтобы организовать обмен можно использовать VipNet Custom. В рамках этого продукта необходимо приобрести:1. VipNet Administrator (программа управления сетью и выдачи сертификатов).2. VipNet Coordinator (не менее одного, лучше failover). Есть варианта - для Windows, для Linux и коробочный вариант HW1000.3. VipNet Client на каждое рабочее место (сюда входит и монитор и деловая почта).Если есть собственные информационные системы с отлаженной передачей, то можно поставить в каждую организацию по VipNet Coordinator и докупить туннели на каждое рабочее место. Если нужна программа для отправки и цифровой подписи, то можно либо VipNet Client (VPN+средство ЭП), либо VipNet CSP. Но для использования VipNet CSP необходимо ещё иметь VipNet Registration Point.По технической части для обмена больше ничего не нужно. Единственное, определитесь с уровнем защиты (КС1,КС2, КС3 и т.п.). В зависимости от нарушителя разные комплекты поставки. Ну средства защиты от НСД никто не отменял (но это уже не о передаче вопрос). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Savas Опубликовано 19 Октября 2012 Жалоба Поделиться Опубликовано 19 Октября 2012 Примеров в сети много. Любой регламент удостоверяющего центра. Если нужно - кину наш пример в личку.Буду весьма признателен. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 19 Октября 2012 Жалоба Поделиться Опубликовано 19 Октября 2012 Буду весьма признателен.Ссылку отправил в личку. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
fedro Опубликовано 22 Октября 2012 Жалоба Поделиться Опубликовано 22 Октября 2012 Требований хватает. Лицензия ФСБ - обязательно, если кто-то будет оператором для других организаций. Для этого, чтобы организовать обмен можно использовать VipNet Custom. В рамках этого продукта необходимо приобрести:1. VipNet Administrator (программа управления сетью и выдачи сертификатов).2. VipNet Coordinator (не менее одного, лучше failover). Есть варианта - для Windows, для Linux и коробочный вариант HW1000.3. VipNet Client на каждое рабочее место (сюда входит и монитор и деловая почта).Если есть собственные информационные системы с отлаженной передачей, то можно поставить в каждую организацию по VipNet Coordinator и докупить туннели на каждое рабочее место. Если нужна программа для отправки и цифровой подписи, то можно либо VipNet Client (VPN+средство ЭП), либо VipNet CSP. Но для использования VipNet CSP необходимо ещё иметь VipNet Registration Point.По технической части для обмена больше ничего не нужно. Единственное, определитесь с уровнем защиты (КС1,КС2, КС3 и т.п.). В зависимости от нарушителя разные комплекты поставки. Ну средства защиты от НСД никто не отменял (но это уже не о передаче вопрос).Спасибо за ответ! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
fedro Опубликовано 22 Октября 2012 Жалоба Поделиться Опубликовано 22 Октября 2012 Требований хватает. Лицензия ФСБ - обязательно, если кто-то будет оператором для других организаций. Для этого, чтобы организовать обмен можно использовать VipNet Custom. В рамках этого продукта необходимо приобрести:1. VipNet Administrator (программа управления сетью и выдачи сертификатов).2. VipNet Coordinator (не менее одного, лучше failover). Есть варианта - для Windows, для Linux и коробочный вариант HW1000.3. VipNet Client на каждое рабочее место (сюда входит и монитор и деловая почта).Если есть собственные информационные системы с отлаженной передачей, то можно поставить в каждую организацию по VipNet Coordinator и докупить туннели на каждое рабочее место. Если нужна программа для отправки и цифровой подписи, то можно либо VipNet Client (VPN+средство ЭП), либо VipNet CSP. Но для использования VipNet CSP необходимо ещё иметь VipNet Registration Point.По технической части для обмена больше ничего не нужно. Единственное, определитесь с уровнем защиты (КС1,КС2, КС3 и т.п.). В зависимости от нарушителя разные комплекты поставки. Ну средства защиты от НСД никто не отменял (но это уже не о передаче вопрос).А, возможно ли сделать это таким образом, по проще? К примеру, в качестве УЦ использовать стороннего поставщика? Т.е. к чему это я - чтобы минимизировать получение всякого рода лицензий фсб, в частности? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 22 Октября 2012 Жалоба Поделиться Опубликовано 22 Октября 2012 А, возможно ли сделать это таким образом, по проще?К примеру, в качестве УЦ использовать стороннего поставщика? Т.е. к чему это я - чтобы минимизировать получение всякого рода лицензий фсб, в частности?Если у Вас есть квалифицированные люди, то получение лицензий ФСБ Вам дорого не встанет. Дороже выйдет потом платить сторонней контроре постоянно... и зависить от их занятости. Скажу по опыту, что аутсорсинг - вещь не всегда удобная. В случае с лицензией ФСТЭК затраты большие. В случае с лицензией ФСБ - сравнительно меньшие. Главное требование - кадры. А остальные требования Вам в любом случае придётся исполнять - в части организации режима помещений и тому подобное. Сейчас требуется по новому закону - 3 человека с образованием по профилю "информационная безопасность" или прошедших переподготовку по данному направлению. Стоимость переподготовки - 20 тысяч за бумажку (пройдя обучение онлайн). Так что - получайте лицензию. Вот мой совет. Окупится с лихвой. Далеко не все лицензиаты смогут Вам организовать нормально работу с криптографией - клиентов у них много, а желание приводить бумажки в порядок - мало. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
fedro Опубликовано 23 Октября 2012 Жалоба Поделиться Опубликовано 23 Октября 2012 Если у Вас есть квалифицированные люди, то получение лицензий ФСБ Вам дорого не встанет. Дороже выйдет потом платить сторонней контроре постоянно... и зависить от их занятости. Скажу по опыту, что аутсорсинг - вещь не всегда удобная. В случае с лицензией ФСТЭК затраты большие. В случае с лицензией ФСБ - сравнительно меньшие. Главное требование - кадры. А остальные требования Вам в любом случае придётся исполнять - в части организации режима помещений и тому подобное. Сейчас требуется по новому закону - 3 человека с образованием по профилю "информационная безопасность" или прошедших переподготовку по данному направлению. Стоимость переподготовки - 20 тысяч за бумажку (пройдя обучение онлайн). Так что - получайте лицензию. Вот мой совет. Окупится с лихвой. Далеко не все лицензиаты смогут Вам организовать нормально работу с криптографией - клиентов у них много, а желание приводить бумажки в порядок - мало.Спасибо за совет! Очень признателен! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 23 Октября 2012 Жалоба Поделиться Опубликовано 23 Октября 2012 Спасибо за совет! Очень признателен!Совсем забыл ещё один важный факт. Опыт работы у них по профилю должен быть не менее трёх лет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
fedro Опубликовано 24 Октября 2012 Жалоба Поделиться Опубликовано 24 Октября 2012 Совсем забыл ещё один важный факт. Опыт работы у них по профилю должен быть не менее трёх лет.Как я понял для Организации УЦ приема/передачи конфиденциальной информации с ПДн необходимо:1) Лицензия ФСБ «Деятельность по разработке, производству, распространению шифровальных (криптографических) средств…» - а есть ли список лицензий, которые надо получить от фсб и фстэк?2) Специально оборудованное помещение3) Квалифицированный персонал: 1 руководитель, 2 инженерно-технический персонал. C образованием по профилю "информационная безопасность" или прошедших переподготовку по данному направлению ПО:1. Сервер2. VipNet Custom (для приема/передачи данных по деловой почте)3. СЗИ от НСДВроде я правильно понял Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 24 Октября 2012 Жалоба Поделиться Опубликовано 24 Октября 2012 Как я понял для Организации УЦ приема/передачи конфиденциальной информации с ПДн необходимо:1) Лицензия ФСБ «Деятельность по разработке, производству, распространению шифровальных (криптографических) средств…» - а есть ли список лицензий, которые надо получить от фсб и фстэк?2) Специально оборудованное помещение3) Квалифицированный персонал: 1 руководитель, 2 инженерно-технический персонал. C образованием по профилю "информационная безопасность" или прошедших переподготовку по данному направлениюПО:1. Сервер2. VipNet Custom (для приема/передачи данных по деловой почте)3. СЗИ от НСДВроде я правильно понял1. Лицензия ФСБ даётся теперь у нас одна. Нужно получать не все виды деятельности. На разработку получать не нужно (да и требования там выше - 5 лет опыта работы). Все остальные виды деятельности (связанные с распространением, обслуживанием и выработке ключей) нужно заявлять. Если хотите точный перечень - могу написать и его.2. Помещение необходимо с сигнализацией, зашторенными окнами, сейфом. Желательно замок, который зашёлкивается при закрытии двери. У нас, например, два замка (один - обычный с ключом, второй - электронный защёлкивающийся).3. VipNet Administrator и компьютер для него.4. VipNet Coordinator в помещении с ограниченным доступом (можно в том же помещении).5. На компьютер с администратором желательно АПМДЗ и СЗИ от НСД.6. По персоналу всё правильно поняли.Лицензию ФСТЭК на ТЗКИ получать довольно дорого. Да и, честно говоря, для организации удостоверяющего центра это и не нужно вовсе. Есдинственное, Вам придётся пригласить один раз лицензиата ФСТЭК для того, чтобы у Вас был аттестат соответствия по требованиям безопасности на компьютер с СЗИ от НСД. Порядка 30 тысяч это будет стоить. А лицензия ФСТЭК может обойтись в весьма кругленькую сумму. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
shsv Опубликовано 17 Ноября 2012 Жалоба Поделиться Опубликовано 17 Ноября 2012 Сейчас требуется по новому закону - 3 человека с образованием по профилю "информационная безопасность" или прошедших переподготовку по данному направлению. - какой закон (редакция) упоминается? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 18 Ноября 2012 Жалоба Поделиться Опубликовано 18 Ноября 2012 Сейчас требуется по новому закону - 3 человека с образованием по профилю "информационная безопасность" или прошедших переподготовку по данному направлению. - какой закон (редакция) упоминается?В случае получения лицензий ФСБ на деятельность в области криптографии (предоставление услуг, распространение криптосредств и техническое обслуживание) требуется минимум три человека, имеющий высшее образование по направлению "информационная безопасность" или прошедших переподготовку (не менее 500 аудиторных часов). Требование это можно прочесть в постановлении Правительства РФ №313 от 16 апреля 2012. Именно этим документом руководствуются специалисты ФСБ при выдаче лицензий нового образца (в соответствии с изменениями в законе "О лицензировании отдельных видов деятельности"). Само собой, это распространяется на случаи предоставления услуг третьим лицам. Для организации корпоративного удостоверяющего центра внутри одной организации, данные лицензии получать не нужно. Таким образом, новые требования гораздо жёстче предыдущих. Тем не менее, это - правильная тенденция, которая позволяет заниматься безопасностью именно профессионалам. Если посмотреть на многих сегодняшних лицензиатов, то что там творится - даже говорить не хочется. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Rokot Опубликовано 25 Февраля 2016 Жалоба Поделиться Опубликовано 25 Февраля 2016 Коллеги. Очень интересная тема и для меня актуальная. Скажите, а можно обойтись без получения лицензии в условиях холдинга где есть управляющая компания и ДЗО таким образом: Основные участники юридически значимого документооборота - работники юр. лица УК, в каждом из ДЗО есть несколько работников допущенных в нашу ИС и наш СЭД. Если этих работников принять в УК по совместительству (на какую-нибкдь сотую или тысячную долю оклада) - потребность в лицензии снимается? А то как то хлопотно из-за пары десятков человек получать лицензию... Заранее благодарю вас за ответ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.