Λάβετε άδεια FSTEC με βάση τις προδιαγραφές. Άδεια FSTEC για TZK

Η εμπιστευτικότητα των δεδομένων εξακολουθεί να είναι ένα από τα πιο πιεστικά προβλήματα στην πραγματικότητα. Σύμφωνα με το νόμο, οι υπάρχουσες πληροφορίες πρέπει να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση. Ο έλεγχος σε αυτόν τον τομέα δραστηριότητας πραγματοποιείται από την FSTEC - την ομοσπονδιακή υπηρεσία τεχνικού και εξαγωγικού ελέγχου, Το βασικό σημείοΑπό αυτή την άποψη, η άδεια FSTEC αφορά όλες τις εταιρείες με τον ένα ή τον άλλο τρόπο που σχετίζεται με τη συλλογή, αποθήκευση και επεξεργασία προσωπικών δεδομένων για άτομα. Για τις εμπορικές εταιρείες, η άδεια FSTEC δημιουργεί επίσης πρόσθετη εγγύησηνα παρέχουν τις υπηρεσίες τους σε πελάτες, γιατί υποστηρίζεται από έλεγχο ασφαλείας για λογαριασμό του κράτους.

Νόμος δοτική αιτιολόγηση για την άδεια FSTEC

Όλες οι εισηγμένες εταιρείες πρέπει να διαθέτουν άδεια από την FSTEC της Ρωσίας, αυτό προκύπτει από τον ομοσπονδιακό νόμο αριθ. η οργάνωση αδειοδότησης για ορισμένους τύπους.

Η βασική έννοια που σχετίζεται με μια άδεια είναι εμπιστευτικές πληροφορίες, Απαιτείται διευκρίνιση για τους σκοπούς της λήψης του από εταιρείες που εκμεταλλεύονται δεδομένα ή αναπτύσσουν υλικό ή λογισμικόγια την προστασία της. Διάφορα δεδομένα μπορεί να περιέχουν προσωπικά, εμπορικά ή κρατικά μυστικά. ΜΕ πρακτικό σημείοΑπό την άποψή μας, η απόκτηση άδειας FSTEC μπορεί να ισχύει τόσο για την εταιρεία στο σύνολό της όσο και για τα τμήματα και τους υπαλλήλους της. Οι περισσότερες εταιρείες που δραστηριοποιούνται με δεδομένα φέρνουν συχνότερα αυτή τη δραστηριότητα στη σφαίρα της πραγματικότητας ενός υπαλλήλου. Σε τέτοιες περιπτώσεις, η ίδια η επιχείρηση δεν χρειάζεται να λάβει άδεια, αλλά ο εργαζόμενος πρέπει.

Η τεχνική προστασία των εμπιστευτικών πληροφοριών (TPKI) καθορίζεται από τη φυσική ανάγκη όλων των συμμετεχόντων στη σχέση, των οποίων τα δεδομένα μπορούν να χρησιμοποιηθούν σε για ιδιοτελείς σκοπούςεν αγνοία τους. Για παράδειγμα δεδομένα προσωπικός τύποςπληροφορίες που αφορούν την προσωπικότητα των εργαζομένων μπορούν να χρησιμεύσουν ως πηγή εικασιών και εκβιασμών. Αυτοί, μαζί με εμπορικές πληροφορίεςΟι χάκερ υπολογιστών είναι επίσης πρόθυμοι να πουλήσουν προκειμένου να αποκτήσουν άδικο (παράνομο) πλουτισμό και αθέμιτο ανταγωνισμό. Και παρά το γεγονός ότι η ίδια η έννοια των εμπιστευτικών πληροφοριών δεν είναι ακόμη σαφώς καθορισμένη στη νομοθεσία, η κοινωνία και οι επιχειρήσεις την έχουν απόλυτη ανάγκη. Επομένως, η άδεια FSTEC TZKI είναι μια μέθοδος προστασίας που ορίζεται από το νόμο και εμπιστευτικότητας σε αυτήν την περίπτωση, σε αντίθεση με τη δημοσιότητα πληροφοριών, πρόκειται για οποιαδήποτε πληροφορία που προστατεύεται από το νόμο. περιορισμένος διαφορετικά επίπεδαπρόσβαση.

Τύποι αδειοδότησης

Στο πλαίσιο των δραστηριοτήτων της, η FSTEC εκδίδει δύο βασικούς τύπους αδειών:

1. Για δραστηριότητες στο TZKI.
2. Για την ανάπτυξη και παραγωγή μέσων SZKI.

Απαιτείται άδεια TZKI ή FSTEC για τεχνική προστασία εμπιστευτικών πληροφοριών για εταιρείες που εργάζονται με έτοιμο λογισμικό και εξοπλισμό που παρέχει άμεση προστασία πληροφοριών. Η SZKI είναι μια παρόμοια άδεια FSTEC για προστασία πληροφοριών, αλλά εκδίδεται σε εταιρείες των οποίων η κύρια δραστηριότητα είναι η παραγωγή εξοπλισμού ασφαλείας. Υπόκεινται σε υποχρεωτική άδεια χρήσης προϊόντων. Αυτά τα μέσα μπορούν να εκτελέσουν μια λειτουργία ελέγχου και προστασίας.

Κατά κανόνα, η ανάγκη απόκτησης άδειας από την FSTEC πρέπει να αφορά εταιρείες που εκτελούν δραστηριότητες πιστοποίησης και πιστοποίησης, παρακολουθούν και σχεδιάζουν εργαλεία τεχνολογίας πληροφοριών, καθώς και εγκατάσταση εξοπλισμού για το TZKI.

Η απόκτηση άδειας TZKI γίνεται συνήθως από τις ίδιες τις επιχειρήσεις, αλλά είναι σημαντικό να τηρούνται ορισμένες απαιτήσεις. Το προσωπικό της εταιρείας πρέπει να είναι εκπαιδευμένο με την κατάλληλη εκπαίδευση και η τεκμηρίωση του εξοπλισμού πρέπει να συμμορφώνεται. Είναι καλύτερο να προτείνετε όλες αυτές τις ερωτήσεις σε έναν μεσάζοντα του οποίου η αρμοδιότητα αποσκοπεί στην παροχή συμβουλευτικών υπηρεσιών κατά την προετοιμασία για την αδειοδότηση. Αυτή η διαδικασία είναι πολύπλοκη και κάθε τύπος άδειας θα απαιτεί τη δική του λίστα, ανάλογα με τον όγκο δραστηριότητας των εταιρειών.

Η διαδικασία αδειοδότησης περιγράφεται λεπτομερώς στο Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας «Σχετικά με την αδειοδότηση δραστηριοτήτων για την τεχνική προστασία εμπιστευτικών πληροφοριών». Το έγγραφο προσδιορίζει λεπτομερώς ποια έγγραφα, με ποια μορφή και με ποια σειρά, απαιτείται να υποβληθούν στην αρχή αδειοδότησης (LO).

Στο χαρτί όλα φαίνονται αρκετά απλά.

1. Το νομικό πρόσωπο υποβάλλει πλήρη αίτηση σύμφωνα με τις απαιτήσεις.
2. Εντός τριών ημερών, η αρχή αδειοδότησης πρέπει να το εξετάσει και να αναφέρει ποια σφάλματα υπάρχουν στην αίτηση ή ποια έγγραφα λείπουν. Εάν το LO έχει σχόλια, ο αιτών πρέπει να διορθώσει τις ελλείψεις εντός 30 ημερών.
3. Εάν η αίτηση συμπληρωθεί σωστά, τότε εντός πέντε ημερών από την ημερομηνία αποδοχής της αίτησης, το LO ελέγχει την πληρότητα των εγγράφων που συμπληρώνουν την αίτηση, και αυτό είναι συνήθως περίπου 200-300 σελίδες.
4. Εάν υπάρχει έλλειψη σε συμπληρωματικά έγγραφα, το LO αρνείται να δεχθεί την αίτηση μέχρι να εξαλειφθούν οι παραβιάσεις. Το νομικό πρόσωπο έχει τις ίδιες 30 ημέρες για να το κάνει αυτό.
5. Έχοντας αναγνωρίσει το πακέτο των εγγράφων ως πλήρες, το LO πρέπει, εντός 45 εργάσιμων ημερών, να λάβει απόφαση σχετικά με την έκδοση άδειας ή αιτιολογημένη άρνηση έκδοσής της.

Ωστόσο, στην πραγματικότητα όλα είναι πιο περίπλοκα. Υπάρχει μόνο μία αρχή αδειοδότησης για ολόκληρη τη χώρα, και βρίσκεται στη Μόσχα, πολλά άτομα εμπλέκονται στην εξέταση των αιτήσεων και ο αριθμός των οργανισμών που επιθυμούν να λάβουν άδεια αυξάνεται κάθε χρόνο. Μπορείτε να κάνετε ερωτήσεις μέσω τηλεφώνου, για αυτό σας δίνονται δύο ώρες δύο φορές την εβδομάδα, όχι περισσότερο από πέντε λεπτά ανά συνεδρία επικοινωνίας, δεν θα μπορείτε να μάθετε πολλά. Όλα αυτά σημαίνουν ότι είναι σχεδόν αδύνατο να πραγματοποιηθεί η αδειοδότηση μέσα σε λίγες μέρες ή και εβδομάδες, ειδικά εάν υπάρχουν παρεξηγήσεις στους κανόνες αδειοδότησης ή δυσκολίες στην εκπλήρωση τουλάχιστον μίας από τις απαιτήσεις. Επιπλέον, για ορισμένους τύπους υπηρεσιών, η λίστα των νομικών πράξεων που πρέπει να επισυνάπτονται μόνο στην αίτηση μπορεί να αποτελείται από 15 σελίδες.

Η αίτηση για άδεια πρέπει να συνοδεύεται από:

• έγγραφα για αυτοματοποιημένα συστήματα, για προστατευμένους χώρους, για το δικαίωμα νόμιμης ιδιοκτησίας χώρων, εξοπλισμού, λογισμικού ή ότι είναι μισθωμένα (με επιβεβαίωση του γεγονότος της μεταβίβασης)·
• έγγραφα για εκκαθάριση ασφαλείας (σε εμπιστευτικές πληροφορίες στις οποίες η πρόσβαση είναι περιορισμένη)·
• αντίγραφα αρχεία εργασίας, συμβάσεις, εκπαιδευτικά έγγραφα των υπαλλήλων του αιτούντος άδεια·
• έγγραφα για την ιδιοκτησία του εξοπλισμού, για εργασίες επαλήθευσης, που επιβεβαιώνουν το γεγονός σωστή απόδοσηαυτός ο εξοπλισμός, το λογισμικό, κ.λπ.
• πληροφορίες σχετικά με κανονιστικά έγγραφα που είναι απαραίτητα για την εκτέλεση δραστηριοτήτων ασφάλειας πληροφοριών·
• περιγραφή τεχνολογική διαδικασίαεπεξεργασία εμπιστευτικών πληροφοριών με την προβλεπόμενη μορφή.

Οι κάτοχοι πρώτης άδειας πρέπει να υποβάλλουν συμβολαιογραφικά έγγραφα σύστασης του οργανισμού.

μπλόκα

Κατά τη διάρκεια των εργασιών αδειοδότησης, οι οργανισμοί αντιμετωπίζουν τρεις κύριες δυσκολίες:

1. Εξοπλισμός. Να εκτελεί εργασίες και να παρέχει υπηρεσίες πιστοποίησης προστατευόμενων χώρων και αυτοματοποιημένα συστήματαπρέπει να αγοραστεί (η ιδιοκτησία ή ιδιοκτησία οποιουδήποτε άλλου νομικά) εξοπλισμός. Το κόστος του κιτ ποικίλλει, αλλά είναι περίπου ένα εκατομμύριο ρούβλια. Και αν ξεκινήσετε την αδειοδότηση εργασιών με την αγορά εξοπλισμού, τότε μέχρι την υποβολή της αίτησης, μπορεί να αποδειχθεί ότι θα πρέπει να επαληθευτεί ξανά (τα πιστοποιητικά επαλήθευσης ισχύουν για ένα έτος). Μπορείτε να προσπαθήσετε να εξοικονομήσετε χρήματα και να νοικιάσετε εξοπλισμό, αλλά πρέπει να είναι με έναν ιδιαίτερο τρόποπλαισιωμένο. Απαιτείται να επιβεβαιώνεται περιοδικά η ιδιοκτησία του εξοπλισμού, συμπερασματικά πρόσθετες συμφωνίεςσε συμβάσεις μίσθωσης που δηλώνουν ότι ο εξοπλισμός ανήκει στον μισθωτή. Το μειονέκτημα της επιλογής ενοικίασης είναι ότι μειώνει τις πιθανότητες απόκτησης άδειας - υπάρχει μεγάλη πιθανότητα να καταχωρηθεί λανθασμένα η σχέση και να απορριφθεί.
2. Ενοικίαση χώρων. Εάν ο αιτών άδεια ενοικιάζει χώρους από υποενοικιαστή, τότε είναι απαραίτητο να υποβάλει ολόκληρη την αλυσίδα των εγγράφων μέχρι τον ιδιοκτήτη των χώρων. Είναι επίσης απαραίτητο να διασφαλιστεί ότι οι πραγματικοί αριθμοί των χώρων συμπίπτουν με τους αριθμούς κτηματογράφησης, έτσι ώστε οι χώροι να προσδιορίζονται σαφώς βάσει εγγράφων και μόνο.
3. Τεκμηρίωση προσωπικού. Οι εργαζόμενοι πρέπει να έχουν διπλώματα τριτοβάθμιας επαγγελματικής εκπαίδευσης στον τομέα της ασφάλειας τεχνικών πληροφοριών και εμπειρία άνω των τριών ετών, ή δίπλωμα τριτοβάθμιας εκπαίδευσης από μαθήματα επανεκπαίδευσης / ανώτερη τεχνική εκπαίδευση και εμπειρία άνω των πέντε ετών. Πρέπει να υπάρχουν τουλάχιστον τρεις υπάλληλοι και πρέπει να απασχολούνται από τον αιτούντα στον κύριο τόπο εργασίας.

Life hack για επιτυχημένη αδειοδότηση

Προκειμένου να αποκτήσετε άδεια και στη συνέχεια να περάσετε με επιτυχία, εάν είναι απαραίτητο, προγραμματισμένες επιθεωρήσεις FSTEC για συμμόρφωση με τις απαιτήσεις, προτείνουμε να λάβετε υπόψη ορισμένα σημεία:

1. Είναι προτιμότερο να αγοράσετε εξοπλισμό (αν είναι απαραίτητος για το είδος της δραστηριότητας που έχετε επιλέξει) παρά να τον νοικιάσετε.
2. Παρακολουθήστε συνεχώς τις αλλαγές σε νομοθετικό πλαίσιοκαι να διατηρεί τεκμηρίωση σε τωρινή κατάσταση, συμπεριλαμβανομένης της περιοδικής ενημέρωσης και αγοράς GOST (οι πληροφορίες σχετικά με αυτό δεν είναι μυστικό, ο επίσημος ιστότοπος του FSTEC της Ρωσίας είναι ανοιχτός σε όλους).
3. Έγκαιρη ενημέρωση λογισμικού προστασίας από ιούς και άδειες δοκιμής λογισμικόκαι εξοπλισμός.
4. Επαναπιστοποιήστε εγκαίρως τις εγκαταστάσεις και τα αυτοματοποιημένα συστήματα, καθώς τα πιστοποιητικά ισχύουν για τρία χρόνια το πολύ.

Αρχική αδειοδότηση και τακτική επιθεώρηση: διαφορές

Όταν ένας αιτών λαμβάνει για πρώτη φορά άδεια, η επικοινωνία με την αρχή αδειοδότησης είναι απομακρυσμένη: τα μέρη ανταλλάσσουν έγγραφα και επικοινωνούν τηλεφωνικά. Κανένας προσωπικές επισκέψειςοι ρυθμιστικές αρχές δεν βλάπτουν τον αιτούντα.

Μια προγραμματισμένη επιθεώρηση μπορεί να πραγματοποιηθεί τρία χρόνια μετά την απόκτηση άδειας. Σε αυτήν την περίπτωση, οι εκπρόσωποι της FSTEC μελετούν εάν το προσωπικό, οι εγκαταστάσεις, ο εξοπλισμός και το λογισμικό που δηλώθηκαν κατά την απόκτηση της άδειας όντως υπάρχουν. Αυτό περιλαμβάνει αξιολόγηση των γνώσεων και των ικανοτήτων του προσωπικού που δηλώνονται στα έγγραφα για την απόκτηση άδειας. Οι επιθεωρητές μπορούν να ζητήσουν έναν κατάλογο πιστοποιητικών που εκδόθηκαν από τον οργανισμό πιστοποίησης (εάν αυτός ο τύπος δραστηριότητας περιλαμβάνεται στην άδεια), καθώς και έναν κατάλογο πελατών στους οποίους εκδόθηκαν αυτά τα πιστοποιητικά. Με αυτόν τον τρόπο, οι ρυθμιστικές αρχές επαληθεύουν εάν ο οργανισμός πιστοποίησης παρείχε πράγματι αυτές τις υπηρεσίες και πόσο υψηλής ποιότητας είναι.

Είναι επίσης δυνατός ένας απρογραμμάτιστος έλεγχος, ο οποίος πραγματοποιείται ανά πάσα στιγμή κατόπιν αιτήματος πολιτών, νομικά πρόσωπα, της εισαγγελίας ή με δικαστική απόφαση.

Εργασίες αδειοδότησης: κόστος

Από την 1η Ιανουαρίου 2015, το κρατικό τέλος για την αρχική λήψη άδειας FSTEC για δραστηριότητες που σχετίζονται με την τεχνική προστασία εμπιστευτικών πληροφοριών είναι 7.500 ρούβλια, για ανανέωση - 3.500 ρούβλια. Αυτά είναι αναπόφευκτα έξοδα και το λιγότερο ακριβό μέρος της εργασίας.

Σύμφωνα με τις απαιτήσεις των κανονισμών αδειοδότησης, είναι απαραίτητο να πραγματοποιηθεί πιστοποίηση και να αναπτυχθούν έγγραφα για την πιστοποίηση των προστατευόμενων χώρων και το αυτοματοποιημένο σύστημα επεξεργασίας εμπιστευτικών πληροφοριών. Αυτές οι υπηρεσίες παρέχονται από κατόχους αδειών FSTEC, για παράδειγμα εκπροσώπους του έργου.

Η γκάμα των υπηρεσιών περιλαμβάνει:

1. Αρχική διαβούλευση. Αυτή είναι μια γνωριμία με την οργάνωση πελατών για να κατανοήσουμε γιατί απαιτείται άδεια και να εξηγήσουμε στον πελάτη τι θα του δώσει, τι κόστος θα κοστίσει η απόκτησή της και πόση επένδυση (χρόνος και οικονομική) θα απαιτηθεί στην μελλοντικός. Ειδικότερα, οι ειδικοί αναφέρουν αμέσως ποιες είναι οι πιθανότητες του οργανισμού για επιτυχή αδειοδότηση, με βάση την ετοιμότητα του πελάτη να υποβάλει αίτηση τώρα.
2. Βοήθεια με την πιστοποίηση. Οι εργαζόμενοι του έργου Kontur.Security πραγματοποιούν πιστοποίηση αιθουσών συνεδριάσεων και αυτοματοποιημένων συστημάτων επεξεργασίας εμπιστευτικών πληροφοριών σύμφωνα με απαιτήσεις ασφαλείας.
3. Διαβούλευση για την απόκτηση εξοπλισμού και λογισμικού.
4. Διαβούλευση για την απόκτηση κανονιστικών εγγράφων (GOSTs). Τα περισσότερα από τα GOST είναι μέσα σε ηλεκτρονική μορφή V αναφορικά και νομικά συστήματα. Δεν αρκεί όμως να τα κατεβάσετε και να τα εκτυπώσετε, καθώς πρέπει να επιβεβαιωθεί η ιδιοκτησία πνευματικών δικαιωμάτων.
5. Βοήθεια στο συντονισμό θεμάτων που σχετίζονται με την ενοικίαση χώρων και εξοπλισμού.
6. Διαβούλευση για σωστό σχέδιοστο προσωπικό των εργαζομένων που εργάζονται με εμπιστευτικές πληροφορίες.
7. Βοήθεια στη συμπλήρωση της αίτησης. Η αίτηση είναι αναρτημένη στους πόρους του FSTEC της Ρωσίας, δεν είναι δύσκολο να συμπληρωθεί, αλλά πρέπει να πληροίτε πολλές προϋποθέσεις σχετικά με τα έγγραφα που συμπληρώνουν την αίτηση - έγκαιρα, με ακρίβεια και πλήρως σύμφωνα με τις απαιτήσεις.

Η άδεια FSTEC είναι μια ειδική κρατική άδεια που σας επιτρέπει να διεξάγετε νόμιμες δραστηριότητες που σχετίζονται άμεσα με τη δημιουργία και τη χρήση λογισμικού ή καινοτόμες τεχνολογίες. Οι άδειες αφορούν την αποθήκευση πληροφοριακών δεδομένων ή τη δημιουργία βάσεων δεδομένων για την αποθήκευση τους.

Άδεια FSTEC στη Μόσχα και σε άλλες περιοχές της Ρωσίας με ειδικούς από τον Όμιλο AP-Rial - απόκτηση άδειας χωρίς προβλήματα. Άδεια προστασίας πληροφοριών - ένα πλήρες φάσμα υπηρεσιών στην αδειοδότηση FSTEC.

Τιμή άδειας FSTEC (βοήθεια για την απόκτηση):από 250.000 τρίψτε.

Η άδεια FSTEC της Ρωσίας είναι διαθέσιμη στους αιτούντες από διαφορετικές περιοχέςχώρα, αλλά η αρχή αδειοδότησης είναι αποκλειστικά ομοσπονδιακή υπηρεσίαγια τεχνικό και εξαγωγικό έλεγχο, που βρίσκεται στη Μόσχα. Η περίοδος ισχύος της επίσημης άδειας ορίζεται ως απεριόριστη και η γεωγραφία επιρροής περιορίζεται στα επίσημα σύνορα του κράτους.

Η περίοδος κατά την οποία ο αιτών λαμβάνει άδειες είναι 45 ημέρες από την ημερομηνία υποβολής των εγγράφων στον ελεγχόμενο κρατικό φορέα.

Απόκτηση διαφόρων τύπων άδειας FSTEC

Η διαδικασία αδειοδότησης μπορεί να προχωρήσει σε τρεις επιλογές:

1. Αυτοπαραπομπή. Ονομα αυτή τη μέθοδοτο βέλτιστο είναι δύσκολο. Ένας απροετοίμαστος αιτών, κατά κανόνα, χάνει ορισμένα βασικά σημεία που σχετίζονται με την υποβολή αίτησης απαιτούμενος τύποςτεκμηρίωση και έγκαιρη εκπαίδευση για υπαλλήλους και διευθυντές. Από αυτή την άποψη, η διαδικασία απόκτησης αδειών ενδέχεται να διαρκέσει μεγάλη ποσότηταχρόνο και, ως εκ τούτου, να μειώσει το πιθανό κέρδος της επιχείρησης.
2. Μερική μεταβίβαση αρμοδιοτήτων για προαδειοδότηση εκπαίδευσης σε ειδικούς. Είναι περισσότερο αποτελεσματική μέθοδοςπερνώντας τη διαδικασία αδειοδότησης. Ο ειδικός επιβλέπει τη διαδικασία, διευθύνοντας τον επικεφαλής της εταιρείας. Αλλά αξίζει να σημειωθεί ότι σε αυτή την περίπτωση, η νομική υποστήριξη δεν μπορεί να είναι πλήρης και, κατά συνέπεια, δεν μπορεί να υπάρχουν εγγυήσεις για το αποτέλεσμα.
3. Πλήρης υποστήριξη της διαδικασίας. Η απόκτηση άδειας FSTEC με τη συμμετοχή ειδικών εγγυάται ένα επιτυχημένο αποτέλεσμα. Δεν έχουμε μόνο ειδικευμένους ειδικούς με εμπειρία στη διεξαγωγή υποθέσεων αδειοδότησης, αλλά και το απαραίτητο τεχνικό και ρυθμιστικό πλαίσιο για να διασφαλίσουμε την πλήρη συμμόρφωση του αιτούντος με τις απαιτήσεις της ρυθμιστικής αρχής.

Ένα πλήρες φάσμα υπηρεσιών μας επιτρέπει όχι μόνο να βοηθήσουμε τις επιχειρήσεις να αποκτήσουν την απαραίτητη άδεια για τις δραστηριότητές τους, αλλά και να είμαστε έτοιμες πιθανούς ελέγχουςκατά τη διάρκεια προγραμματισμένων ή μη επιθεωρήσεων.

Τύποι άδειας FSTEC

Ομοσπονδιακός νόμος αριθ. 99 με ημερομηνία 4 Μαΐου 2011 «Σχετικά με την αδειοδότηση ορισμένων τύπων δραστηριοτήτων» ρυθμίζει σαφώς τον κατάλογο των βιομηχανιών που απαιτούνται για την αδειοδότηση. Πρώτα απ 'όλα, πρέπει να αποκτήσετε άδεια FSTEC:

• να συμμετέχει σε κρατικούς διαγωνισμούς·
• διεξαγωγή δραστηριοτήτων που σχετίζονται με την ανάπτυξη και την παραγωγή του CIPF·
• διεξαγωγή δραστηριοτήτων που σχετίζονται με το TZKI·
• κατά την επεξεργασία προσωπικών δεδομένων.

Η αδειοδότηση από την FSTEC της Ρωσίας στη βιομηχανία TZKI ρυθμίζεται από το Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 3ης Φεβρουαρίου 2012 Αρ. 79 «Σχετικά με τις δραστηριότητες αδειοδότησης για την τεχνική προστασία εμπιστευτικών πληροφοριών». Η περίοδος ισχύος είναι απεριόριστη, αλλά οι επιχειρήσεις κατά τη διάρκεια των δραστηριοτήτων τους πρέπει να είναι προετοιμασμένες να επιβεβαιώσουν τις απαιτήσεις για τους δικαιοδόχους.

Η αδειοδότηση στον κλάδο CIPF () ελέγχεται από το Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 3ης Μαρτίου 2012 Νο. 171 «Σχετικά με τις δραστηριότητες αδειοδότησης για την ανάπτυξη και παραγωγή μέσων προστασίας εμπιστευτικών πληροφοριών». Το επίσημο έγγραφο καθορίζει τις απαιτήσεις για τους αιτούντες για αυτήν την άδεια.

Απαιτήσεις για άδεια FSTEC στη Μόσχα

Προκειμένου ένας αιτών να λάβει επίσημη άδεια για να δραστηριοποιηθεί στον κλάδο, χρειάζεται τεκμηριωμένη απόδειξη συμμόρφωσης με τις ακόλουθες απαιτήσεις:

• Διαθεσιμότητα εργαζομένων με τριτοβάθμια εκπαίδευση στον τομέα " Ασφάλεια Πληροφοριών" Επιτρέπεται η προσέλκυση ειδικών με δευτεροβάθμια τεχνική εκπαίδευση παρόμοιου προφίλ, υπό την προϋπόθεση ότι θα υποβληθούν σε επαγγελματική επανεκπαίδευση διάρκειας τουλάχιστον 360 ακαδημαϊκών ωρών (απαιτείται η προσκόμιση πιστοποιητικού επιτυχούς ολοκλήρωσης της εκπαίδευσης). Είναι επίσης σημαντικό να έχετε εργασιακή εμπειρία στον τομέα της ασφάλειας πληροφοριών.
• Διαθεσιμότητα χώρων, ιδιόκτητων ή μισθωμένων, υπομισθωμένων (απαιτείται έγκυρη σύμβαση μίσθωσης), απαραίτητη για την υλοποίηση του επαγγελματική δραστηριότητα. Οι χώροι εργασίας πρέπει να πληρούν τις τρέχουσες κρατικές απαιτήσεις.
• Ιδιοκτήτη ή μισθωμένη (πρέπει να παρουσιάσει έγκυρη σύμβαση μίσθωσης) απαραίτητο εξοπλισμό. Κάθε τεχνική μονάδα πρέπει να συνοδεύεται από εκθέσεις επαλήθευσης και τα απαραίτητα πιστοποιητικά που επιβεβαιώνουν την ακρίβεια των παρεχόμενων δεδομένων.
• Διαθεσιμότητα ενημερωμένου λογισμικού απαραίτητου για τη διεξαγωγή δραστηριοτήτων στον κλάδο.
• Διαθεσιμότητα κανονιστικών και μεθοδολογικών εγγράφων με την ένδειξη «DSP» και πρότυπα GOST.
• Διαθεσιμότητα πιστοποιημένων εγκαταστάσεων και πιστοποιημένου αυτοματοποιημένου σταθμού εργασίας (AWS) σύμφωνα με τις τρέχουσες απαιτήσεις

Η άδεια FSTEC προβλέπει την πλήρη συμμόρφωση του δικαιοδόχου και την εκπαίδευση του προσωπικού για την εκτέλεση αυτής της δραστηριότητας.

Διαδικασία αδειοδότησης

Η άδεια της FSTEC της Ρωσίας με τη συμμετοχή μας είναι ότι οι ειδικοί μας αναλαμβάνουν τις ακόλουθες υποχρεώσεις:

• προετοιμασία της απαραίτητης τεκμηρίωσης και προσκόμισή της σε καθιερωμένη μορφή;
• εκτέλεση, εάν είναι απαραίτητο·
• προετοιμασία και υποβολή αίτησης στην αρχή αδειοδότησης (ανεξάρτητα από την τοποθεσία του αιτούντος)·
• διεξαγωγή πιστοποίησης χώρων και αυτοματοποιημένων σταθμών εργασίας·
• λήψη εγγράφων επιβεβαίωσης της υποβολής εγγράφων ·
• τη διενέργεια διαδικασιών για την εξάλειψη δημοσιευμένων ελλείψεων και σχολίων, εάν είναι απαραίτητο·
• λήψη επίσημης άδειας (άδειας) και μεταβίβασή της στον κάτοχο της άδειας.

Ορισμένοι τύποι αδειών FSTEC απαιτούν άδεια FSB για να λειτουργούν με πληροφορίες που αποτελούν κρατικό μυστικό.

Εγγυόμαστε στους αιτούντες την απόκτηση άδειας και την πλήρη συμμόρφωση της επιχείρησης με τις κρατικές απαιτήσεις σε όλα τα στάδια της περαιτέρω επιχειρηματικής της δραστηριότητας.

Συμμετοχή σε εκθέσεις και συνέδρια στον τομέα της ασφάλειας πληροφοριών

Οι ειδικοί του Ομίλου AP-Rial παρακολουθούν τακτικά θεματικές εκθέσεις και συνέδρια, επομένως βρίσκονται πάντα στην τάση όλων των καινοτομιών στον τομέα της ασφάλειας πληροφοριών. Όλη η εμπειρία που αποκτάται γίνεται πάντα στην πράξη. Η πλούσια εμπειρία μας επιτρέπει στους δικηγόρους μας να παρέχουν συμβουλές υψηλής ποιότητας σχετικά με τον εξοπλισμό που πρέπει να διαθέτει ένας οργανισμός που ασχολείται με την προστασία δεδομένων ή την ανάπτυξη εργαλείων ασφάλειας πληροφοριών.

Την άλλη μέρα οι υπάλληλοί μας επισκέφτηκαν μια έκθεση στις προστασία πληροφοριώναπό το "INTERPOLITEX - 2018". Διοργανωτές της έκθεσης ήταν οι δυνάμεις του Υπουργείου Εσωτερικών (MVD), της Ομοσπονδιακής Υπηρεσίας Ασφαλείας (FSB) και της Ρωσικής Φρουράς. Το φωτορεπορτάζ μπορείτε να το δείτε στη σελίδα.

Τεχνική προστασία εμπιστευτικών πληροφοριών - τρέχον πρόβλημαστις σημερινές πραγματικότητες. Οποιοσδήποτε οργανισμός, με τον ένα ή τον άλλο τρόπο, συλλέγει πληροφορίες που δεν θα ήθελε ή απλά δεν έχει το δικαίωμα να αποκαλύψει. Η διαρροή τέτοιων δεδομένων μπορεί να έχει τις πιο σοβαρές συνέπειες.

Το κράτος ελέγχει αυτόν τον σημαντικό τομέα και ο κύριος ρυθμιστικός φορέας είναι η Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου Εξαγωγών (FSTEC).

Οι εταιρείες που ασχολούνται ή σχεδιάζουν να συμμετάσχουν σε δραστηριότητες για την προστασία εμπιστευτικών πληροφοριών πρέπει να λάβουν άδεια FSTEC ( ο ομοσπονδιακός νόμος 99 «Περί αδειοδότησης ορισμένων τύπων δραστηριοτήτων», Κυβερνητικό Διάταγμα της 21ης ​​Νοεμβρίου 2011 Αρ. 957 «Περί οργάνωσης αδειοδότησης ορισμένων τύπων δραστηριοτήτων»). Υπάρχει επίσης άδεια FSB, η οποία είναι απαραίτητη για εταιρείες που ασχολούνται με κρατικά μυστικά.

Τύποι αδειών FSTEC

Εάν λάβουμε υπόψη μόνο τις δραστηριότητες που υπάγονται στη δικαιοδοσία της FSTEC, τότε υπάρχουν δύο κύριοι τύποι αδειών:

Πρώτον: Άδεια FSTEC για δραστηριότητες τεχνικής προστασίας εμπιστευτικών πληροφοριών (TZKI). Μια τέτοια άδεια απαιτείται για εταιρείες που εργάζονται απευθείας με πληροφορίες. Χρησιμοποιούν έτοιμο λογισμικό, το εγκαθιστούν, δοκιμάζουν εξοπλισμό, επικοινωνίες και ειδικούς χώρους για την αποθήκευση πληροφοριών κ.λπ. Αναλυτική λίσταέργα που απαιτούν την απόκτηση άδειας ΤΖΚΙ θα δοθούν παρακάτω.

Δεύτερον: Άδεια FSTECγια δραστηριότητες που σχετίζονται με την ανάπτυξη και την παραγωγή μέσων προστασίας εμπιστευτικών πληροφοριών (SZKI). Οι οργανισμοί που λαμβάνουν αυτήν την άδεια αναπτύσσουν και παράγουν οι ίδιοι εργαλεία ασφάλειας πληροφοριών. Αυτό περιλαμβάνει ειδικό λογισμικό και εξοπλισμό σχεδιασμένο για την επεξεργασία, την αποθήκευση και τη μετάδοση προστατευμένων πληροφοριών, καθώς και την παρακολούθηση της ασφάλειας. Τα πιστοποιητικά FSTEC εκδίδονται για όλο το λογισμικό και το υλικό που παράγονται και χρησιμοποιούνται για αυτούς τους σκοπούς. Σε ορισμένα χρονικά διαστήματα, ο προστατευτικός εξοπλισμός επαναπιστοποιείται.

Τι σημαίνει εμπιστευτικές πληροφορίες;

Δεν υπάρχει σαφής ορισμός αυτής της έννοιας στη νομοθεσία: μπορεί να είναι είτε εμπορικό μυστικό, καθώς και προσωπικά δεδομένα ή οποιαδήποτε άλλη πληροφορία περιορισμένης χρήσης.

Υπάρχει επίσης η έννοια του «χειριστή προσωπικών δεδομένων». Αυτή είναι οποιαδήποτε οργάνωση ή άτομο, που οργανώνει και (ή) διενεργεί την επεξεργασία προσωπικών δεδομένων. Σύμφωνα με το νόμο (Ομοσπονδιακός Νόμος Αρ. 152 «Περί Δεδομένων Προσωπικού Χαρακτήρα»), ο χειριστής ΠΔ είναι υποχρεωμένος να διασφαλίζει την ακεραιότητά του, δηλαδή να λαμβάνει μέτρα για την τεχνική προστασία των πληροφοριών που υπόκεινται σε αδειοδότηση.

Στην πράξη, αυτό δεν σημαίνει πάντα ότι πρέπει να αποκτήσει άδεια FSTEC. Ο χειριστής μπορεί να δεσμευτεί για το σκοπό αυτό οργανισμός τρίτου μέρουςμε άδεια ή να ορίσει διαρθρωτική μονάδα ή στέλεχος που θα ασχοληθεί με το θέμα της ΤΖΚΙ. Σε αυτήν την περίπτωση, αυτή η μονάδα ή ο υπάλληλος απαιτείται επίσης να έχει άδεια FSTEC για TZKI.

Άδεια FSTEC για TZKI. Για τι είδους εργασία χρειάζεται;

Ποιοι οργανισμοί πρέπει να αποκτήσουν άδεια FSTEC για το TZKI; Προκειμένου να διαπιστωθεί αυτό, είναι απαραίτητο να συγκριθεί το έργο ή οι υπηρεσίες που σχεδιάζει να παρέχει αυτός ο οργανισμός με εκείνες που παρουσιάζονται στο κυβερνητικό διάταγμα. Τέτοιες εργασίες περιλαμβάνουν:

• έλεγχος της ασφάλειας των εμπιστευτικών πληροφοριών από διαρροή τεχνικά κανάλια V:
  μέσα και συστήματα πληροφοριών·
  τεχνικά μέσα ahs (συστήματα) που δεν επεξεργάζονται εμπιστευτικές πληροφορίες, αλλά βρίσκονται σε εγκαταστάσεις όπου υποβάλλονται σε επεξεργασία·
  χώρους με μέσα (συστήματα) προς προστασία·
  εγκαταστάσεις που προορίζονται για τη διεξαγωγή εμπιστευτικών διαπραγματεύσεων (προστατευόμενοι χώροι)·
• τον έλεγχο της ασφάλειας των εμπιστευτικών πληροφοριών από μη εξουσιοδοτημένη πρόσβαση και την τροποποίησή τους σε εργαλεία και συστήματα τεχνολογίας πληροφοριών·
• δοκιμές πιστοποίησης για τη συμμόρφωση με απαιτήσεις ασφάλειας πληροφοριών για προϊόντα που χρησιμοποιούνται για την προστασία εμπιστευτικών πληροφοριών (τεχνικά μέσα προστασίας πληροφοριών, προστατευμένα τεχνικά μέσα επεξεργασίας πληροφοριών, τεχνικά μέσα παρακολούθησης της αποτελεσματικότητας των μέτρων προστασίας πληροφοριών, λογισμικό (λογισμικό και υλικό) μέσα προστασίας πληροφοριών , προστατευμένο λογισμικό (λογισμικό -τεχνικό) εργαλεία επεξεργασίας πληροφοριών, λογισμικό (λογισμικό και υλικό) εργαλεία ελέγχου ασφάλειας πληροφοριών)·
• δοκιμές πιστοποίησης και πιστοποίηση για συμμόρφωση με τις απαιτήσεις ασφάλειας πληροφοριών:
  
  προστατευόμενοι χώροι·
• προστατευόμενο σχέδιο:
  εργαλεία και συστήματα πληροφορικής·
  εγκαταστάσεις με μέσα (συστήματα) τεχνολογίας πληροφοριών που υπόκεινται σε προστασία·
  προστατευόμενοι χώροι·
• εγκατάσταση, εγκατάσταση, δοκιμή, επισκευή εξοπλισμού ασφάλειας πληροφοριών

Λήψη άδειας από την FSTEC της Ρωσίας για προστασία τεχνικών πληροφοριών

Η FSTEC της Ρωσίας συνιστά την απόκτηση άδειας για τεχνική προστασίαπληροφορίες μόνοι σας για να αποφύγετε αδικαιολόγητα έξοδα και αδικαιολόγητες εγγυήσεις. Πώς μοιάζει αυτή η διαδικασία; Για να αποκτήσετε άδεια προστασίας πληροφοριών, πρέπει να πληρούνται δύο προϋποθέσεις:

Συλλέξτε τα πάντα ΑΠΑΡΑΙΤΗΤΑ ΕΓΓΡΑΦΑ . Ο κατάλογος των εγγράφων είναι αρκετά εντυπωσιακός και βρίσκεται στον ιστότοπο του FSTEC της Ρωσίας fstec.ru. Επιπλέον, πρέπει να συμπληρώσετε μια αίτηση και να πληρώσετε ένα κρατικό τέλος 7.500 ρούβλια. Μετά την υποβολή των εγγράφων, η πληρότητα των στοιχείων ελέγχεται εντός πέντε εργάσιμων ημερών. Στη συνέχεια διενεργείται επανεξέταση για να διαπιστωθεί εάν ο αιτών πληροί τις προϋποθέσεις για να του χορηγηθεί άδεια.

Ικανοποιήστε τις απαιτήσεις. Ο κατάλογος των απαιτήσεων βρίσκεται επίσης στον επίσημο ιστότοπο του FSTEC της Ρωσίας. Φυσικά, πρέπει να το φροντίσετε εκ των προτέρων πριν υποβάλετε τα έγγραφά σας.

Απαιτήσεις για την απόκτηση άδειας FSTEC

Συνοψίζοντας συνοπτικά αυτές τις απαιτήσεις, συνοψίζονται στα εξής:

• Καταρτισμένοι υπάλληλοι.Το προσωπικό πρέπει να περιλαμβάνει υπαλλήλους με ανώτερη εκπαίδευσησε εξειδικευμένο τομέα ή που έχουν υποβληθεί σε ειδική μετεκπαίδευση.
• Ειδικοί χώροι για την εκτέλεση δραστηριοτήτων.Οι χώροι πρέπει να συμμορφώνονται με τα πρότυπα και να ανήκουν νόμιμα στον αιτούντα.
• Πιστοποιημένος εξοπλισμός.
• Αυτοματοποιημένα συστήματα επεξεργασίας πληροφοριών με πιστοποιητικά.
• Νομικό λογισμικό.
• Διαθεσιμότητα κανονισμών και μεθοδολογικών εγγράφων σύμφωνα με τον κατάλογο του FSTEC.

Αφού πληρούνται όλες οι προϋποθέσεις και τα έγγραφα είναι σε τάξη, εκδίδεται άδεια. Η περίοδος ισχύος της άδειας για το TZKI δεν είναι περιορισμένη, αλλά η FSTEC θα πραγματοποιεί περιοδικά προγραμματισμένες επιθεωρήσεις. Ως εκ τούτου, η εταιρεία πρέπει να διασφαλίζει συνεχώς ότι πληρούνται όλες οι απαιτήσεις FSTEC.

Καλησπέρα, αγαπητοί αναγνώστες!

Σήμερα, για πρώτη φορά μετά από πολύ καιρό, αποφάσισα και πάλι να θίξω το θέμα της εργασίας με προσωπικά δεδομένα, καθώς πιστεύω ότι δεν έχουν ξεκαθαρίσει όλα τα ζητήματα νωρίτερα και οι καινοτομίες στη δυναμική νομοθεσία μας δεν αργούν να έρθουν. Υπάρχουν πραγματικά χαρακτηριστικά και υπάρχουν πολλά από αυτά. Ειδικότερα, εμφανίστηκε το Διάταγμα FSTEC «Σχετικά με την έγκριση της σύνθεσης και του περιεχομένου των οργανωτικών και τεχνικών μέτρων για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο ISPDn» Νο. 21 της 18ης Φεβρουαρίου 2013, εμφανίστηκαν νέες τροποποιήσεις στο 152-FZ Σχετικά με τα Προσωπικά Δεδομένα», και φυσικά πώς Ως αποτέλεσμα, προέκυψε ξανά το ερώτημα σχετικά με την ερμηνεία ορισμένων απαιτήσεων του κανονιστικού μας πλαισίου. Όλα αυτά, φυσικά, απαιτούν κάποια αναθεώρηση των υφιστάμενων απόψεων για την προστασία των προσωπικών δεδομένων και τις ενέργειες των φορέων εκμετάλλευσης προσωπικών δεδομένων. δεδομένα. Ειδικά σε συνδυασμό με τις συνεχώς μεταβαλλόμενες απόψεις των ρυθμιστικών αρχών - FSTEC και Roskomnadzor - για αυτό το θέμα. Έγραψα πολλά από αυτά στο άρθρο σχετικά με τη διαδικασία του νέου χειριστή εδώ.

Και τώρα θα μιλήσουμε για τα βασικά της εποχής μας. και δεν έχει φωτιστεί ακόμα από εμέναερώτηση: Χρειάζεται ο χειριστής PD άδεια για την τεχνική προστασία εμπιστευτικών πληροφοριών;Και αν ναι, σε ποιες περιπτώσεις και γιατί; Εάν όχι ή πραγματικά δεν θέλετε, τότε πώς να εξηγήσετε σωστά στις ρυθμιστικές αρχές. Οι ερωτήσεις, βλέπετε, είναι πολύ επίκαιρες και πολύ σημαντικές. Γιατί η απόκτηση μιας τέτοιας άδειας, ακόμη και στην πιο απλουστευμένη μορφή της, δεν είναι φθηνή, τόσο από οικονομικής άποψης όσο και από πλευράς σπαταλήσεων νεύρων και κόπου.

Ετσι. Χρειαζόμαστε άδεια από την FTEK για δραστηριότητες που σχετίζονται με την τεχνική προστασία εμπιστευτικών πληροφοριών, τις οποίες στην πραγματικότητα είμαστε υποχρεωμένοι να εκτελούμε από ολόκληρο το 152-FZ “On PD”; Είναι αδύνατο να απαντηθεί αυτό το ερώτημα με σαφήνεια για όλες τις πιθανές καταστάσεις. Επομένως, ας δούμε συγκεκριμένες επιλογές.

Αρχικά, ας προσπαθήσουμε να καταλάβουμε από πού προήλθε η απαίτηση για αδειοδότηση δραστηριοτήτων ΤΖΚΙ; Το όλο θέμα βρίσκεται στην παράγραφο 5 του μέρους 1 του άρθρου 12 99-FZ «Σχετικά με την αδειοδότηση ορισμένων τύπων δραστηριοτήτων», η οποία δηλώνει άμεσα ότι οι δραστηριότητες που σχετίζονται με την κυριολεκτική «τεχνική προστασία εμπιστευτικών πληροφοριών» υπόκεινται σε αδειοδότηση. Στη συνέχεια, γιατί τα PD είναι κάτι τέτοιο; Πρώτον, υπάρχει το άρθρο 7 152-FZ, το όνομα του οποίου («απόρρητο των προσωπικών δεδομένων») μιλά ήδη πολλά. Και υπάρχει και το Προεδρικό Διάταγμα Νο. 188 «Περί έγκρισης του καταλόγου εμπιστευτικών πληροφοριών» της 03/06/1997, στο πρώτο εδάφιο του οποίου αναφέρεται: «κάθε πληροφορία για την ιδιωτική ζωή του πολίτη, καθώς και όσες επιτρέπουν η προσωπικότητά του προς ταυτοποίηση είναι Π.Δ.» και περιλαμβάνονται στον υπό εξέταση κατάλογο. Σαφή. Και τέλος: γιατί η δραστηριότητα του φορέα εκμετάλλευσης υπόκειται σε TZKI; Επειδή ο ομοσπονδιακός νόμος 152 τον υποχρεώνει να το κάνει αυτό. Αυτό είναι όλο, στην πραγματικότητα. Φαίνεται ότι δεν μπορεί να υπάρχουν ερωτήσεις εδώ. Ολόκληρη η λογική του νόμου ανιχνεύεται ξεκάθαρα, αλλά δεν είναι όλα τόσο θλιβερά όσο φαίνονται με την πρώτη ματιά. Ας προχωρήσουμε σε αυτές τις επιλογές.

Η πρώτη και πιο κοινή επιλογή είναι προστατεύουμε προσωπικά δεδομένα για δικές του ανάγκες (δηλαδή τους υπαλλήλους τους ή/και τους πελάτες τους), τα οποία υποβάλλονται σε επεξεργασία αποκλειστικά για τις δικές τους ανάγκες (ή προς όφελος του υποκειμένου ΠΔ). Προς μεγάλη μας ευτυχία, στις 30 Μαΐου 2012, εμφανίστηκε το Πληροφοριακό Μήνυμα Αρ. Ιστοσελίδα FSTEC. Το κείμενό του είναι διαθέσιμο, για παράδειγμα, . Δεν θα το αναφέρω εδώ (αν ενδιαφέρεται κάποιος, ακολουθήστε τον σύνδεσμο της προηγούμενης πρότασης), θα πω απλώς το νόημα: εάν είναι νομικό πρόσωπο. ένα άτομο ασκεί δραστηριότητες στο πλαίσιο του TZKI, οι οποίες δεν αποσκοπούν στην επίτευξη κέρδους, στην παροχή υπηρεσιών και δεν περιέχονται στα συστατικά έγγραφα, τότε δεν είναι απαραίτητο να αποκτήσει την κατάλληλη άδεια. Συνεπώς, η επιλογή «για τις δικές σας ανάγκες» δεν απαιτεί την απόκτηση τέτοιας άδειας. Ωστόσο, υπάρχουν αποχρώσεις εδώ.

Τι να κάνουμε αν δεν θέλουμε να χρησιμοποιήσουμε πιστοποιημένο CIPF, εάν η παράγραφος 3 του μέρους 2 του άρθρου. Το απαιτεί αυτό το 19 152-FZ; Αυτό απαιτείται επίσης από την ρήτρα 13.ζ στο PP No. 1119: «η χρήση εργαλείων ασφάλειας πληροφοριών που έχουν περάσει τη διαδικασία αξιολόγησης της συμμόρφωσης με τις απαιτήσεις της νομοθεσίας της Ρωσικής Ομοσπονδίας στον τομέα της ασφάλειας πληροφοριών, σε περιπτώσεις όπου η χρήση τέτοιων μέσων είναι απαραίτητη για την εξουδετέρωση των τρεχουσών απειλών». Αυτή ακριβώς η «αναγκαιότητα» μπορεί να προσδιοριστεί μόνο από κάποιον που είναι ειδικός στον τομέα της ασφάλειας πληροφοριών, δηλ. έχει άδεια ΤΖΚΙ. ;) Επιπλέον, το PP-1119 περιέχει μια απαίτηση για την κατάρτιση ενός μοντέλου απειλών, το οποίο περιλαμβάνει την έννοια των πραγματικών απειλών 3 τύπων. Η διαφορά στους τύπους είναι η παρουσία απειλών που σχετίζονται με μη δηλωμένες δυνατότητες σε διάφορους τύπους λογισμικού. Αν αντιμετωπίσεις την αλήθεια, τότε Το NDV τόσο στο λογισμικό εφαρμογών όσο και στο λογισμικό συστήματος είναι πάντα σχετικό και για όλους. Αλλά ο τύπος 1 απειλών κάνει το ISPD μας απίστευτα υψηλής κατηγορίας, που συνεπάγεται την εκτέλεση ένα ολόκληρο μάτσοαπαίτηση προστασίας. Πώς μπορούμε να λύσουμε το πρόβλημα της αποφυγής των τύπων 1 και 2 των τρεχουσών απειλών;Υπάρχουν δύο επιλογές: είτε να χρησιμοποιήσετε όλο το λογισμικό συστήματος/εφαρμογών που είναι πιστοποιημένο για NDV (κάτι που δεν είναι ρεαλιστικό), είτε να αποκτήσετε άδεια για το TZKI, το οποίο δίνει το δικαίωμα διεξαγωγής τέτοιων αξιολογήσεων εμπειρογνωμόνων. Σε όλες τις άλλες περιπτώσεις, μπορεί να εμφανιστούν μεγάλες και δυσάρεστες λιβάδια με τον ρυθμιστή. Πώς να είσαι; Όλα είναι πολύ απλά. Μπορείτε να επικοινωνήσετε με τον κάτοχο άδειας FSTEC για το TZKI και να του ζητήσετε να παρέχει υπηρεσίες σε αυτό το συγκεκριμένο θέμα (ανάλυση τρεχουσών απειλών). Όπως λένε, φτηνό και χαρούμενο. :) Το θέμα με τα πιστοποιημένα crypto funds επιλύεται με παρόμοιο τρόπο.

Δεύτερη επιλογή - προστατεύουμε/επεξεργαζόμαστε τα προσωπικά δεδομένα άλλου νομικού προσώπου. άτομα (τους πελάτες/τους υπαλλήλους του). Εδώ είναι που χειροτερεύει. Σύμφωνα με το ίδιο πληροφοριακό μήνυμαΗ FSTEC, καθώς και η γενική νομική αιτιολογία παραπάνω, θα χρειαστεί άδεια. Και δεν υπάρχουν επιλογές εδώ: είτε να λάβετε είτε να αναθέσετε την επεξεργασία των προσωπικών δεδομένων σε έναν κάτοχο άδειας.

Τρίτη επιλογή - παρέχουμε υπηρεσίες για την προστασία προσωπικών δεδομένων (ή σύμφωνα με το TKKI), ή οι δραστηριότητες για την προστασία των προσωπικών δεδομένων προβλέπονται στα συστατικά έγγραφα. Duamyu, με βάση το παραπάνω κείμενο, όλα είναι ξεκάθαρα. Όσον αφορά τα συστατικά έγγραφα, είναι πιο εύκολο, φυσικά, να τα ξανακάνεις απλώς παρά να υποφέρεις με όλα τα παραπάνω. ;)

Σημαντικό σημείο:δραστηριότητα στο TKKI είναι ακριβώς ο σχεδιασμός ενός συστήματος προστασίας (σύστημα πληροφοριών προσωπικών δεδομένων ή οτιδήποτε άλλο - δεν έχει σημασία), δηλ. κατάρτιση μοντέλου απειλής, επιλογή στοιχείων ασφάλειας πληροφοριών κ.λπ.! Η ίδια η επιχείρηση λειτουργεί ήδη τελειωμένο σύστημα, για το οποίο έχουν ήδη επιλεγεί τα πάντα και έχουν συνταχθεί όλα τα μοντέλα, δεν προστατεύεται και δεν εμπίπτει σε αδειοδοτημένη δραστηριότητα! Επειδή επιλογή με τη συμμετοχή ενός δικαιοδόχου να σχεδιάσει ένα ασφαλές ISPD στην "φθηνότερη δυνατή" έκδοση - αυτή είναι, κατά κανόνα, η πιο κερδοφόρα και βολική(αν, φυσικά, μιλάμε για επεξεργασία προσωπικών δεδομένων για τις δικές μας ανάγκες).

Αυτό είναι όλο, στην πραγματικότητα. Νομίζω ότι τώρα, αγαπητοί αναγνώστες, δεν θα έχετε πλέον ερωτήσεις σχετικά με την ανάγκη απόκτησης άδειας.

Με εκτιμιση,
Lysyak Alexander