Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ
  • në shtëpi
  • Programet
  • Si të merrni një licencë fstack? Marrja e një licence fstack për mbrojtjen teknike të informacionit konfidencial: dispozitat bazë.

Si të merrni një licencë fstack? Marrja e një licence fstack për mbrojtjen teknike të informacionit konfidencial: dispozitat bazë.

21.07.2019 Programet

Mbrojtja teknike e informacionit konfidencial është një problem urgjent në realitetin e sotëm. Çdo organizatë në një mënyrë ose në një tjetër mbledh informacion që nuk do t'i pëlqente ose thjesht nuk ka të drejtë t'i zbulojë. Rrjedhja e të dhënave të tilla mund të ketë pasojat më të rënda.

Shteti kontrollon këtë fushë të rëndësishme, dhe organi kryesor rregullator është Shërbimi Federal për Kontrollin Teknik dhe Eksport (FSTEC).

Kompanitë që angazhohen ose planifikojnë të angazhohen në aktivitete për mbrojtjen e informacionit konfidencial duhet të marrin një licencë nga FSTEC (Ligji Federal Nr. 99 "Për Licencimin e Disa llojeve të Aktiviteteve", Dekret i Qeverisë i datës 21 nëntor 2011 Nr. 957 "Për Organizatën" të Licencimit të Llojeve të Disa Veprimtarive”). Ekziston edhe një licencë FSB, e cila kërkohet nga kompanitë që merren me sekretet shtetërore.

Llojet e licencave FSTEC

Nëse marrim parasysh vetëm aktivitetet nën juridiksionin e FSTEC, atëherë ekzistojnë dy lloje kryesore të licencave:

Së pari: Licenca FSTEC për mbrojtjen teknike të informacionit konfidencial (TZKI)... Një licencë e tillë kërkohet për kompanitë që punojnë drejtpërdrejt me informacionin. Ata përdorin softuer të gatshëm, e instalojnë atë, testojnë pajisjet, komunikimet dhe dhomat e veçanta për ruajtjen e informacionit, etj. Një listë e detajuar e punimeve që kërkojnë marrjen e licencës për TZKI do të jepet më poshtë.

Së dyti: Licenca FSTECpër zhvillimin dhe prodhimin e mjeteve për mbrojtjen e informacionit konfidencial (SZKI)... Organizatat që marrin këtë licencë zhvillojnë dhe prodhojnë vetë mjetet e sigurisë së informacionit. Kjo përfshin softuer dhe pajisje speciale të dizajnuara për përpunimin, ruajtjen dhe transmetimin e informacionit të mbrojtur, si dhe kontrollin e sigurisë. Certifikatat FSTEC lëshohen për të gjithë softuerin dhe harduerin që prodhohen dhe përdoren për këto qëllime. Në intervale të rregullta, pajisjet mbrojtëse i nënshtrohen ricertifikimit.

Çfarë është informacioni konfidencial?

Nuk ka një përkufizim të qartë të këtij koncepti në legjislacion: ai mund të jetë si një sekret tregtar dhe të dhëna personale ose çdo informacion tjetër me përdorim të kufizuar.

Ekziston edhe koncepti i "operatorit të të dhënave personale". Kjo është çdo organizatë ose individ që organizon dhe (ose) kryen përpunimin e të dhënave personale. Sipas ligjit (Ligji Federal Nr. 152 “Për të Dhënat Personale”), operatori i PD-së është i detyruar të sigurojë paprekshmërinë e tyre, pra të marrë masa për mbrojtjen teknike të informacionit që i nënshtrohet licencimit.

Në praktikë, kjo nuk do të thotë gjithmonë se ai duhet të marrë një licencë FSTEC. Operatori mund të angazhojë për këtë qëllim një organizatë të licencuar nga palët e treta, ose të emërojë një njësi strukturore ose zyrtar në përbërjen e tij për t'u marrë me çështjen e TZKI. Në këtë rast, këtij divizioni apo zyrtari i kërkohet edhe licenca FSTEC për TZKI.

Licenca FSTEK për TZKI. Çfarë lloj pune nevojitet?

Cilat organizata duhet të lëshojnë një licencë FSTEC për TZKI? Për ta përcaktuar këtë, duhet të krahasohet puna apo shërbimet që planifikon të ofrojë kjo organizatë me ato të paraqitura në dekretin e qeverisë. Punime të tilla përfshijnë:

  • kontroll mbi mbrojtjen e informacionit konfidencial nga rrjedhja përmes kanaleve teknike në:
    mjetet dhe sistemet e informatizimit;
    mjete (sisteme) teknike që nuk përpunojnë informacion konfidencial, por ndodhen në ambientet ku përpunohet;
    ambiente me objekte (sisteme) për t'u mbrojtur;
    lokalet e destinuara për zhvillimin e negociatave konfidenciale (lokale të mbrojtura);
  • kontrollin mbi mbrojtjen e informacionit konfidencial nga aksesi i paautorizuar dhe modifikimin e tij në mjetet dhe sistemet e informatizimit;
  • testet e certifikimit për pajtueshmërinë me kërkesat e sigurisë së informacionit të produkteve të përdorura për mbrojtjen e informacionit konfidencial (mjetet teknike për mbrojtjen e informacionit, mjetet teknike të mbrojtura të përpunimit të informacionit, mjetet teknike të monitorimit të efektivitetit të masave të mbrojtjes së informacionit, softuerët (softuerët dhe harduerët) mjetet e sigurisë së informacionit , softuer i mbrojtur (softuer - teknik) mjete për përpunimin e informacionit, softuer (softuer dhe harduer) mjete për kontrollin e sigurisë së informacionit);
  • testet e vërtetimit dhe vërtetimi për pajtueshmërinë me kërkesat e mbrojtjes së informacionit:

    ambiente të mbrojtura;
  • dizajn i mbrojtur:
    mjetet dhe sistemet e informatizimit;
    ambientet me mjete (sisteme) informatizimi për t'u mbrojtur;
    ambiente të mbrojtura;
  • instalimi, montimi, testimi, riparimi i pajisjeve të sigurisë së informacionit

Marrja e një licence nga FSTEC e Rusisë për mbrojtjen teknike të informacionit

FSTEC i Rusisë rekomandon marrjen e një licence për mbrojtjen teknike të informacionit më vete në mënyrë që të shmangen kostot e pajustifikuara dhe garancitë e paarsyeshme. Si duket kjo procedurë? Për të marrë një licencë për mbrojtjen e informacionit, duhet të plotësoni dy kushte:

Mblidhni të gjitha dokumentet e nevojshme... Lista e dokumenteve është mjaft mbresëlënëse dhe mund të gjendet në faqen e internetit të FSTEC të Rusisë fstec.ru. Për më tepër, duhet të plotësoni një aplikim dhe të paguani një tarifë shtetërore në shumën prej 7500 rubla. Pas dorëzimit të dokumenteve, plotësia e informacionit kontrollohet brenda pesë ditëve të punës. Më pas kryhet një kontroll për të përcaktuar nëse aplikanti i plotëson kërkesat për licencë.

Plotësoni kërkesat... Lista e kërkesave është gjithashtu në faqen zyrtare të FSTEC të Rusisë. Sigurisht, duhet të kujdeseni për këtë paraprakisht përpara se të dorëzoni dokumente.

Kërkesat për marrjen e një licence FSTEC

Duke përmbledhur shkurtimisht këto kërkesa, ato përfundojnë në sa vijon:

  • Punonjës të kualifikuar. Stafi duhet të jetë punonjës me arsim të lartë në një fushë të specializuar ose që i është nënshtruar rikualifikimit të veçantë.
  • Lokale të veçanta për kryerjen e veprimtarive. Lokalet duhet të jenë në përputhje dhe në pronësi ligjore të aplikantit.
  • Pajisje të certifikuara.
  • Sisteme të automatizuara për përpunimin e informacionit me certifikata.
  • Softuer ligjor.
  • Disponueshmëria e akteve ligjore normative dhe dokumenteve metodologjike në përputhje me listën FSTEC.

Pasi të plotësohen të gjitha kërkesat dhe dokumentet të jenë në rregull, lëshohet një licencë. Periudha e vlefshmërisë së licencës për TZKI nuk është e kufizuar, por herë pas here FSTEC do të kryejë inspektime të planifikuara. Prandaj, kompania duhet të monitorojë vazhdimisht që të gjitha kërkesat e FSTEC janë përmbushur.

Procesi i licencimit përshkruhet në detaje në Dekretin e Qeverisë së Federatës Ruse "Për aktivitetet e licencimit për mbrojtjen teknike të informacionit konfidencial". Dokumenti specifikon në mënyrë të detajuar se cilat dokumente në çfarë forme dhe procedurë duhet t'i dorëzohen autoritetit licencues (LO).

Në letër, gjithçka duket mjaft e thjeshtë.

  1. Personi juridik paraqet një kërkesë të formuar plotësisht në përputhje me kërkesat.
  2. Brenda tre ditëve, autoriteti licencues duhet ta shqyrtojë atë dhe të raportojë se çfarë gabimesh ka në aplikim ose çfarë dokumentesh mungojnë. Nëse LO ka komente, atëherë aplikanti duhet të eliminojë mangësitë brenda 30 ditëve.
  3. Nëse aplikimi është plotësuar saktë, atëherë brenda pesë ditëve nga dita e pranimit të aplikacionit, LO kontrollon plotësinë e dokumenteve që plotësojnë aplikacionin, dhe kjo zakonisht është rreth 200-300 faqe.
  4. Në rast të mungesës së dokumenteve suplementare, LO refuzon organizatën të pranojë aplikimin deri në eliminimin e shkeljeve. Personi juridik ka të njëjtat 30 ditë për këtë.
  5. Pasi e ka njohur paketën e dokumenteve si të plotë, LO-ja duhet që brenda 45 ditëve të punës të marrë një vendim për dhënien e licencës ose për një refuzim të arsyetuar për lëshimin e saj.

Sidoqoftë, në realitet, gjithçka është më e ndërlikuar. Ekziston vetëm një organ licencues për të gjithë vendin, dhe ai ndodhet në Moskë, disa njerëz janë të përfshirë në shqyrtimin e aplikacioneve dhe numri i organizatave që dëshirojnë të marrin një licencë po rritet çdo vit. Ju mund të bëni pyetje përmes telefonit, për këtë ju jepen dy orë dy herë në javë, jo më shumë se pesë minuta për një seancë komunikimi, nuk do të mund të zbuloni shumë. E gjithë kjo do të thotë se është pothuajse e pamundur të kryhet licencimi brenda disa ditësh apo edhe javësh, veçanërisht nëse ka një keqkuptim në rregullat e licencimit ose vështirësi në përmbushjen e të paktën një prej kërkesave. Gjithashtu, për disa lloje shërbimesh, vetëm një listë e akteve ligjore që duhet t'i bashkëngjiten aplikacionit mund të përbëhet nga 15 faqe.

Kërkesa për marrjen e licencës duhet të shoqërohet me:

  • dokumente për sisteme të automatizuara, për ambientet e mbrojtura, për të drejtën e zotërimit të ligjshëm të ambienteve, pajisjeve, programeve kompjuterike ose që ato janë marrë me qira (me konfirmim të faktit të transferimit);
  • dokumente për qasje në sekret (në informacion konfidencial, qasja në të cilën është e kufizuar);
  • kopjet e librave të punës, kontratat e punës, dokumentet për arsimimin e punonjësve të aplikantit për licencë;
  • dokumente për pronësinë e pajisjes, për punë verifikimi, që konfirmojnë faktin e funksionueshmërisë së saktë të kësaj pajisjeje, për softuerin, etj.;
  • informacion në lidhje me dokumentet rregullatore të nevojshme për zbatimin e aktiviteteve të mbrojtjes së informacionit;
  • përshkrimi i procesit teknologjik për përpunimin e informacionit konfidencial në formën e përcaktuar.

Ata që marrin licencën për herë të parë duhet të paraqesin statutin e noterizuar të organizatës.

Blloqe pengese

Gjatë punës së licencimit, organizatat përballen me tre sfida kryesore:

  1. Pajisjet. Për të kryer punë dhe për të ofruar shërbime për certifikimin e ambienteve të mbrojtura dhe sistemeve të automatizuara, është e nevojshme të blini (veta ose mbi çdo bazë tjetër ligjore) pajisje. Kostoja e kompletit ndryshon, por është rreth një milion rubla. Dhe nëse filloni licensimin me blerjen e pajisjeve, atëherë deri në momentin e paraqitjes së aplikacionit mund të rezultojë se do të duhet të verifikohet përsëri (certifikatat e verifikimit janë të vlefshme për një vit). Mund të përpiqeni të kurseni para dhe të merrni me qira pajisje, por ato duhet të jenë të dekoruara posaçërisht. Kërkohet që në mënyrë periodike të konfirmohet pronësia e pajisjeve, të lidhni marrëveshje shtesë për marrëveshjet e qirasë që pajisjet janë të vendosura me qiramarrësin. Disavantazhi i opsionit të qirasë është se zvogëlon shanset për të marrë një licencë - ekziston një probabilitet i lartë që marrëdhënia të zyrtarizohet gabimisht dhe të refuzohet.
  2. Qira lokalesh. Nëse aplikanti për licencë merr me qira një lokal nga një nënqiramarrës, atëherë është e nevojshme të dorëzojë të gjithë zinxhirin e dokumenteve deri tek pronari i lokalit. Është gjithashtu e nevojshme të sigurohet që numrat aktualë të lokaleve të përkojnë me numrat kadastralë, në mënyrë që lokalet të identifikohen në mënyrë unike bazuar vetëm në dokumente.
  3. Dokumentacioni i HR. Punonjësit duhet të kenë diploma të arsimit të lartë profesional në fushën e mbrojtjes teknike të informacionit dhe përvojë më shumë se tre vjet ose diplomë të arsimit të lartë nga kurse rikualifikimi / arsim të lartë teknik dhe përvojë më shumë se pesë vjet. Duhet të jenë të paktën tre punonjës dhe ata duhet të jenë të punësuar nga aplikanti në vendin kryesor të punës.

Hack jetës për licencim të suksesshëm

Për të marrë një licencë, dhe pastaj për të kaluar me sukses, nëse është e nevojshme, inspektimet e planifikuara nga FSTEC për përputhjen me kërkesat, ne propozojmë të marrim parasysh një numër pikash:

  1. Është më mirë të blini pajisje (nëse është e nevojshme për llojin e zgjedhur të aktivitetit tuaj), sesa të merrni me qira.
  2. Monitoroni vazhdimisht ndryshimet në kuadrin legjislativ dhe mbani dokumentacionin të përditësuar, duke përfshirë përditësimin periodik dhe blerjen e GOST-ve (informacioni për këtë nuk është sekret, faqja zyrtare e internetit e FSTEC të Rusisë është e hapur për të gjithë).
  3. Përditësoni në kohë softuerin antivirus dhe testoni licencat e softuerit dhe harduerit.
  4. Të kryhet në kohë ricertifikimi i ambienteve dhe sistemeve të automatizuara, pasi certifikatat janë të vlefshme për maksimum tre vjet.

Marrja fillestare e licencës dhe inspektimi i planifikuar: dallime

Kur aplikanti merr për herë të parë një licencë, komunikimi me autoritetin licencues është i largët: palët shkëmbejnë dokumente dhe komunikojnë me telefon. Autoritetet rregullatore nuk i bëjnë asnjë vizitë personale aplikantit.

Inspektimi rutinë mund të kryhet tre vjet pas marrjes së licencës. Në këtë rast, përfaqësues të FSTEC studiojnë nëse në realitet ekzistojnë personeli, ambientet, pajisjet dhe programet kompjuterike që janë deklaruar gjatë marrjes së licencës. Kjo përfshin vlerësimin e njohurive dhe kompetencave të personelit të deklaruar në dokumentet për marrjen e licencës. Inspektorët mund të kërkojnë një listë të certifikatave të lëshuara nga organizata certifikuese (nëse ky lloj aktiviteti është në licencë), si dhe një listë të klientëve të cilëve u janë lëshuar këto certifikata. Kështu, autoritetet rregullatore sigurohen nëse organizata certifikuese i ka ofruar vërtet këto shërbime dhe sa cilësore janë ato.

Është i mundur edhe një kontroll i paplanifikuar, i cili kryhet në çdo kohë me kërkesë të qytetarëve, personave juridikë, prokurorisë ose me vendim gjykate.

Puna e licencimit: çmimi i emetimit

Nga 1 janari 2015, detyra shtetërore për marrjen fillestare të një licence FSTEC për mbrojtjen teknike të informacionit konfidencial është 7,500 rubla, për zgjatjen - 3,500 rubla. Këto janë kosto të pashmangshme dhe pjesa më e lirë e punës.

Në përputhje me kërkesat e rregulloreve të licencimit, është e nevojshme të kryhet certifikimi dhe zhvillimi i dokumenteve për certifikimin e ambienteve të mbrojtura dhe një sistem i automatizuar për përpunimin e informacionit konfidencial. Këto shërbime ofrohen nga të licencuarit e FSTEC, për shembull, përfaqësues të projektit.

Gama e shërbimeve përfshin:

  1. Konsultimi fillestar. Ky është një njohje me organizatën e klientit për të kuptuar se për çfarë kërkohet një licencë dhe për t'i shpjeguar klientit se çfarë do t'i japë atij, cilat do të jenë kostot për ta marrë atë dhe sa do të jetë investimi (kohë dhe financiare). kërkohet në të ardhmen. Ndër të tjera, specialistët raportojnë menjëherë për shanset e një organizate për licencim të suksesshëm, bazuar në gatishmërinë e klientit për të aplikuar tani.
  2. Ndihmoni me certifikimin. Punonjësit e projektit Kontur.Security kryejnë certifikimin e ambienteve për negociata, sisteme të automatizuara për përpunimin e informacionit konfidencial në përputhje me kërkesat e sigurisë.
  3. Konsulencë për blerjen e pajisjeve dhe programeve kompjuterike.
  4. Konsulencë për blerjen e dokumenteve rregullatore (GOST). Shumica e GOST-ve janë në formë elektronike në sistemet e referencës ligjore. Por nuk mjafton shkarkimi dhe printimi i tyre, pasi është pronësia që kërkohet të konfirmohet.
  5. Asistencë në bashkërendimin e çështjeve që lidhen me dhënien me qira të ambienteve dhe pajisjeve.
  6. Konsultimi për regjistrimin e saktë të punonjësve që punojnë me informacion konfidencial.
  7. Asistencë në plotësimin e aplikacionit. Aplikimi është postuar në burimet e FSTEC të Rusisë, është e lehtë për t'u plotësuar, por ju duhet të plotësoni shumë kushte në lidhje me dokumentet që plotësojnë aplikacionin - në kohën e duhur, me saktësi dhe në përputhje të plotë me kërkesat.

Licencimi i veprimtarive për mbrojtjen teknike të informacionit konfidencial

Vitet e fundit, kuadri ligjor në fushën e sigurisë së informacionit ka formuar mekanizma të kushtueshëm, konfuzë, kontradiktore që nuk marrin parasysh as veçoritë e përpunimit të informacionit konfidencial në fusha të ndryshme të veprimtarisë, as aftësinë e operatorëve për të përmbushur kërkesat e vendosura. . Për më tepër, kërkesat për operatorët e sistemeve të informacionit që përpunojnë informacione konfidenciale, përfshirë të dhënat personale, nga FSTEC e Rusisë përfshijnë një mekanizëm të tillë të rregullimit shtetëror si licencimi i aktiviteteve për mbrojtjen teknike të informacionit konfidencial, për zbatimin e të cilit shumica e operatorëve bëjnë nuk ka burime të mjaftueshme materiale dhe punëtore. Kjo është veçanërisht e vërtetë për organizatat buxhetore në fushën e arsimit, shërbimeve mjekësore, strehimit dhe shërbimeve komunale. Problemet ligjore lindën për shkak të mungesës së ligjeve për mbrojtjen e informacionit konfidencial në legjislacionin federal, për shembull, sekretet zyrtare, sekretet profesionale, paqartësia e dispozitave, si dhe ndryshimet dhe shtesat e përsëritura të bëra në Ligjin Federal Nr. 152 "Për të dhënat personale". “, akte të tjera rregullatore ligjore... Në të njëjtën kohë, ligjet federale kërkojnë specifikime dhe sqarime të mëtejshme me dekrete të Qeverisë së Federatës Ruse dhe dokumente metodologjike të FSTEC dhe FSB të Rusisë.

Miratimi nga Qeveria e Federatës Ruse të Dekretit nr. 79 të datës 3 shkurt 2012 "Për licencimin e veprimtarive për mbrojtjen teknike të informacionit konfidencial" me miratimin e "Rregullores për aktivitetet e licencimit për mbrojtjen teknike të informacionit konfidencial" (në tekstin e mëtejmë referuar si Rregullore) dhe anulimi i Dekretit të mëparshëm të vlefshëm të 15 gushtit 2006 Nr. 504, ngre edhe një herë pyetjen se çfarë është e re në rregulloren në fjalë dhe është e nevojshme një licencë nga FSTEC e Rusisë nëse organizata mbron konfidencialet informacion "për nevojat e veta", dhe nuk ofron shërbime për para?

Në përputhje me pikën 1, Rregullorja përcakton procedurën për licencimin e veprimtarive për mbrojtjen teknike të informacionit konfidencial (që nuk përmban informacione që përbëjnë sekret shtetëror, por të mbrojtura në përputhje me legjislacionin e Federatës Ruse), të kryera nga persona juridikë dhe individë. sipërmarrësit.

Dhe pyetja lind menjëherë me termin "informacion konfidencial", i cili është dhënë në Rregullore dhe përdoret në dokumentet e FSTEC të Rusisë, por mungon në legjislacionin federal. Ligji Federal Nr.149 datë 27.07. 2006 " Për informacionin, teknologjinë e informacionit dhe mbrojtjen e informacionit "në pikën 7 të Artit. 2 jep vetëm një përkufizim të konfidencialitetit të informacionit, si një kërkesë e detyrueshme për një person që ka akses në informacione të caktuara për të mos transferuar një informacion të tillë te palët e treta pa pëlqimin e pronarit të tij. Konfidencialiteti në përkthim nga latinishtja do të thotë "besim" (d.m.th., duke transmetuar një informacion të tillë, ne shpresojmë për sigurinë dhe mospërhapjen e tij, pasi zbulimi i tij mund të shkaktojë dëme të caktuara për palët). Vini re se mungesa e qartësisë së disa termave, si dhe ndonjëherë ndryshimet e paarsyeshme në përkufizimet dhe konceptet e legjislacionit të informacionit nuk kontribuojnë në përmirësimin e rregullimit ligjor në sferën e informacionit. Në të njëjtën kohë, FSTEC i Rusisë vazhdon të përdorë termin "informacion konfidencial", të cilin ligjvënësit tashmë e kanë braktisur.

Sipas legjislacionit të Federatës Ruse, shenjat e detyrueshme të informacionit me akses të kufizuar duhet të jenë:

  • informacioni ka vlerë aktuale ose potenciale për pronarin për shkak të panjohurës së tij për palët e treta. Persona të tillë mund të jenë shteti, persona juridikë ose individë;
  • nuk ka akses të lirë në informacion mbi bazën ligjore. Mundësia e mbajtjes së saj të panjohur për palët e treta përcaktohet me ligj federal;
  • pronari i informacionit merr masa për ta mbrojtur atë.

Më 6 mars 1997, Presidenti i Federatës Ruse nxori dekretin nr. 188, i cili miratoi "Listën e informacionit konfidencial", sipas të cilit informacioni i mëposhtëm klasifikohej si informacion konfidencial:

  • për faktet, ngjarjet dhe rrethanat e jetës private të një qytetari, të cilat bëjnë të mundur identifikimin e personalitetit të tij (të dhënat personale), me përjashtim të informacionit që është objekt i përhapjes në media në rastet e përcaktuara me ligje federale;
  • që përbën sekretin e hetimit dhe të procedimeve ligjore;
  • qasja në të cilën është e kufizuar nga autoritetet shtetërore në përputhje me Kodin Civil të Federatës Ruse dhe ligjet federale (sekret zyrtar);
  • ato që lidhen me aktivitetet profesionale, qasja në të cilat është e kufizuar në përputhje me Kushtetutën e Federatës Ruse dhe ligjet federale (sekretet mjekësore, noteriale, avokatore, sekreti i korrespondencës, bisedat telefonike, postimet, mesazhet telegrafike ose të tjera, etj.);
  • ato që lidhen me aktivitetet tregtare, qasja në të cilat është e kufizuar në përputhje me Kodin Civil të Federatës Ruse dhe ligjet federale (sekretet tregtare);
  • mbi thelbin e shpikjes, modelit të përdorimit ose modelit industrial përpara publikimit zyrtar të informacionit rreth tyre.

Rezoluta e re sqaron gjithashtu termin "mbrojtje teknike e informacionit konfidencial" (në tekstin e mëtejmë - TZKI), që, në përputhje me pikën 2 të Rregullores, nënkupton:

Kryerja e punës dhe (ose) ofrimi i shërbimeve për ta mbrojtur atë nga aksesi i paautorizuar, nga rrjedhjet përmes kanaleve teknike, si dhe nga ndikimet e veçanta në një informacion të tillë me qëllim shkatërrimin, shtrembërimin ose bllokimin e aksesit në të.

Pra, bëhet fjalë ose për kryerjen e punës në TZKI, ose për ofrimin e shërbimeve për TZKI, ose për aktivitete të përbashkëta.

Gjatë kryerjes së aktiviteteve për mbrojtjen teknike të informacionit konfidencial Llojet e mëposhtme të punës dhe shërbimeve janë subjekt i licencimit:

  • kontroll mbi mbrojtjen e informacionit konfidencial nga rrjedhja përmes kanaleve teknike në:
- mjetet dhe sistemet e informatizimit;

Mjetet (sistemet) teknike që nuk përpunojnë konfidenciale

informacion, por të vendosur në ambientet ku përpunohet;

Lokalet me objekte (sisteme) për t'u mbrojtur;

Lokalet e destinuara për zhvillimin e negociatave konfidenciale (në tekstin e mëtejmë - lokalet e mbrojtura);

  • kontrollin mbi mbrojtjen e informacionit konfidencial nga aksesi i paautorizuar dhe modifikimin e tij në mjetet dhe sistemet e informatizimit;
  • testet e certifikimit për pajtueshmërinë me kërkesat e sigurisë së informacionit të produkteve të përdorura për mbrojtjen e informacionit konfidencial (mjetet teknike për mbrojtjen e informacionit, mjetet teknike të mbrojtura të përpunimit të informacionit, mjetet teknike të monitorimit të efektivitetit të masave të mbrojtjes së informacionit, softuerët (softuerët dhe harduerët) mjetet e sigurisë së informacionit (në tekstin e mëtejmë - SSS) , softuer i mbrojtur (softuer dhe harduer) mjete për përpunimin e informacionit, softuer (softuer dhe harduer) kontrolle për sigurinë e informacionit);
  • testet e vërtetimit dhe vërtetimi për pajtueshmërinë me kërkesat e mbrojtjes së informacionit:

ambiente të mbrojtura;

  • dizajn i mbrojtur:
- mjetet dhe sistemet e informatizimit;

Ambientet me mjete (sisteme) informatizimi të mbrohen;

ambiente të mbrojtura;

  • instalimi, instalimi, testimi, riparimi i mjeteve të sigurisë së informacionit (sistemet teknike të sigurisë së informacionit, mjetet teknike të mbrojtura të përpunimit të informacionit, mjetet teknike të monitorimit të efektivitetit të masave të mbrojtjes së informacionit, softuerët (softuerët dhe harduerët) mjetet e sigurisë së informacionit, softueri i mbrojtur (softueri dhe harduer) mjetet e përpunimit të informacionit, softuerët (softuerët dhe harduerët) mjetet e kontrollit të sigurisë së informacionit).

Në të njëjtën kohë, funksionimi i një sistemi të sigurisë së informacionit, në kontrast me funksionimin e mjeteve të mbrojtjes kriptografike, ku autoriteti licencues është FSB e Rusisë, nuk zbatohet për një lloj aktiviteti të licencuar. Ky qëndrim i FSTEC të Rusisë ngre pyetje. Pse janë të licencuara vetëm fazat e para në krijimin e një sistemi mbrojtjeje - projektimi i sistemit të mbrojtjes dhe instalimi i mjeteve mbrojtëse? Pse puna e përditshme e specialistëve dhe shërbimeve të sigurisë së informacionit për funksionimin dhe kontrollin e efektivitetit të sistemeve të sigurisë së informacionit nuk i nënshtrohet licencimit? Në fund të fundit, nuk është më pak e rëndësishme sesa krijimi i një sistemi mbrojtjeje, pasi detyrat e licencimit të llojeve të caktuara të aktiviteteve janë parandalimi, identifikimi dhe shtypja e shkeljeve nga një person juridik, drejtuesi i tij dhe zyrtarët e tjerë të kërkesave të përcaktuara nga Ligji Federal i 4.5.2011. Nr. 99-FZ "Për licencimin e llojeve të caktuara të veprimtarive", ligje të tjera federale dhe akte të tjera rregullatore ligjore të Federatës Ruse të miratuara në përputhje me to.

Në bazë të paragrafit 1 të Artit. 49 i Kodit Civil të Federatës Ruse, një person juridik mund të angazhohet në lloje të caktuara të aktiviteteve, lista e të cilave përcaktohet me ligj, vetëm në bazë të një leje të veçantë (licencë). Llojet e aktiviteteve për të cilat është e nevojshme të merrni një licencë tregohen në Ligjin Federal të 4.05.2011 N 99-ФЗ "Për licencimin e llojeve të caktuara të aktiviteteve", klauzola 5 e Artit. 12 prej të cilave përfshijnë ndër këto lloje dhe aktivitete në TZKI.

Koncepti i "shërbimeve" nënkupton një lloj kontrate të caktuar (Kapitulli 39, nenet 779-783 të Kodit Civil të Federatës Ruse), domethënë një transaksion shumëpalësh në të cilin duhet të ketë domosdoshmërisht një palë tjetër (Klauzola 1 e nenit 154 të Kodit Civil të Federatës Ruse). Por koncepti i "punës" nuk përcaktohet në ligj dhe mund të përcaktohet vetëm në bazë të shumë kuptimeve në rusisht: "profesion, punë, veprimtari".

Kështu, nga formulimi i mësipërm, mund të konkludojmë se aktivitetet në TZKI, si të palëve të treta ("shërbime") ashtu edhe për nevojat e tyre ("punë"), janë subjekt i licencimit.

Prandaj, nëse një organizatë, në kuadër të mbrojtjes së informacionit të brendshëm konfidencial, kryen punë për mbrojtjen teknike të saj, ajo duhet të marrë një licencë të përshtatshme. Për shembull, në lidhje me mbrojtjen e të dhënave personale, operatori nuk ka “nevoja të veta” për mbrojtjen e tyre dhe nuk mund të ekzistojë në bazë të ligjit. Qëllimi i vetëm i ligjit federal nr. 152 "Për të dhënat personale" është të sigurojë mbrojtjen e të drejtave dhe lirive të njeriut dhe qytetarit gjatë përpunimit të të dhënave të tij personale. Ligji nuk specifikon ndonjë qëllim tjetër (përfshirë plotësimin e nevojave të operatorëve). Për më tepër, FZ 99-FZ "Për licencimin e llojeve të caktuara të veprimtarive" përfshin lloje të aktiviteteve që mund të sjellin dëmtim të të drejtave, interesave legjitime dhe shëndetit të qytetarëve. Ligji nuk bën dallim ndërmjet interesave të subjektit të të dhënave personale (punonjësit) dhe subjektit të të dhënave personale (palës së tretë) për të drejtën kushtetuese të një qytetari për sekretin personal. Ligjvënësi (përmes institutit të licencimit) mbron çdo subjekt të të dhënave personale nga pasojat e kryerjes së punës me cilësi të dobët në TZKI.

Rregulloret administrative të FSTEC të Rusisë për ekzekutimin e funksionit shtetëror të veprimtarive të licencimit për TZKI (në tekstin e mëtejmë të referuara si Rregulloret Administrative), miratuar me urdhër të 28.08.07. Nr. 181 me ndryshimet e fundit të datës 30.09.2011 në përputhje me urdhrin nr. 515, janë përcaktuar kushtet dhe sekuenca e veprimeve (procedurat administrative) të FSTEC të Rusisë në ushtrimin e autoritetit për licencimin e aktiviteteve të TZKI. Licencimi është objekt i aktiviteteve të TZKI që kryhen nga persona juridikë dhe sipërmarrës individualë.

Një analizë e dispozitave të Rregullores Administrative tregon se procedura për marrjen e licencës për TZKI kërkon shumë kohë, mund dhe para. Për të marrë një licencë për aktivitetet e TZKI, është e nevojshme të konfirmohet mundësia e përmbushjes së kërkesave dhe kushteve të licencimit të përcaktuara me Rregullore.

Kërkesat e licencimit për një aplikant për licencë për të kryer aktivitete sipas TZKI janë (klauzola 5 e Rregullores):

a) aplikanti për licencë ka një person juridik - specialistë që janë në stafin e aplikantit për licencë, të cilët kanë arsim të lartë profesional në fushën e sigurisë së informacionit teknik ose arsim të lartë teknik ose të mesëm profesional (teknik) dhe kanë kryer rikualifikim ose trajnim të avancuar. në sigurinë e informacionit teknik.

b) aplikanti i licencës (i licencuari) ka ambiente për kryerjen e veprimtarive të licencuara që plotësojnë standardet teknike dhe kërkesat për mbrojtjen teknike të informacionit të përcaktuara nga aktet ligjore rregullatore të Federatës Ruse dhe i përkasin atij në bazë të pronësisë ose në çdo bazë tjetër ligjore;

c) disponueshmëria, mbi çdo bazë ligjore, e pajisjeve të prodhimit, testimit dhe kontrollit dhe matjes që i janë nënshtruar verifikimit (kalibrimit), shënimit dhe certifikimit metrologjik në përputhje me legjislacionin e Federatës Ruse;

d) përdorimin e sistemeve të automatizuara që përpunojnë informacione konfidenciale, si dhe mjetet për mbrojtjen e informacionit të tillë që kanë kaluar procedurën e vlerësimit të konformitetit (të certifikuar dhe (ose) të certifikuar në përputhje me kërkesat e sigurisë së informacionit) në përputhje me legjislacionin e Federatës Ruse;

e) përdorimi i programeve për kompjuterë elektronikë dhe bazave të të dhënave të destinuara për zbatimin e veprimtarive të licencuara në bazë të një marrëveshjeje me mbajtësin e të drejtave të tyre;

f) disponueshmëria e akteve ligjore rregullatore, dokumenteve rregullatore dhe metodologjike dhe metodologjike për mbrojtjen teknike të informacionit në përputhje me listën e përcaktuar nga FSTEC e Rusisë.

Siç mund ta shihni, për të përmbushur kërkesat e mësipërme, një organizatë duhet të ketë të paktën 2 specialistë, të cilët, në disa raste (në mungesë të arsimit të lartë të specializuar), do t'u kërkojnë atyre të studiojnë në kurse trajnimi të avancuara sipas planprogrameve të dakorduara. me FSTEC të Rusisë në shumën prej të paktën 72 orësh. Për më tepër, do të kërkohen dokumente rregullatore, duke përfshirë aksesin e kufizuar, si dhe praninë mbi çdo bazë ligjore (në pronësi ose me qira për një periudhë jo më pak se afati i licencës) të prodhimit, testimit dhe kontrollit dhe pajisjeve matëse që kanë kaluar verifikimin metrologjik. (kalibrimi), shënjimi dhe certifikimi. Përveç sa më sipër, do të jetë e nevojshme të projektohen, krijohen dhe certifikohen objektet e informatizimit (një sistem i automatizuar dhe një dhomë e sigurt) të destinuara për përpunimin e informacionit konfidencial. Në këtë rast, lind problemi i blerjes, mbi çdo bazë ligjore, të pajisjeve të kontrollit dhe matjes që i licencuari nuk ka nevojë për të ofruar shërbimet e TZKI. Për më tepër, shumica e këtyre kërkesave janë mjaft të kushtueshme në aspektin ekonomik, kryesisht për organizatat buxhetore në fushën e arsimit, shërbimeve mjekësore, strehimit dhe shërbimeve komunale.

Ekzekutimi i funksionit shtetëror të licencimit të aktiviteteve të TZKI në përputhje me pikat 12-14 të Rregullores përfshin procedurat administrative të mëposhtme (Fig. 1):

  • informimi dhe konsultimi për procedurën e kryerjes së funksioneve shtetërore;
  • shqyrtimi i një aplikacioni për licencë;
  • verifikimin e mundësisë që aplikanti për licencë të përmbushë kërkesat dhe kushtet e licencës;
  • marrjen e vendimit për dhënien e licencës;
  • lëshimi i një dokumenti që konfirmon ekzistencën e licencës;
  • lëshimi i një dublikate dhe kopje të një dokumenti që konfirmon ekzistencën e licencës;
  • rinovimi i periudhës së vlefshmërisë së licencës;
  • rilëshimi i një dokumenti që konfirmon ekzistencën e licencës;
  • kontrollin mbi pajtueshmërinë nga i licencuari me kërkesat dhe kushtet e licencimit;
  • pezullimi, rinovimi i licencës dhe revokimi i licencës;
  • mbajtja e regjistrit të licencave;
  • sigurimi i informacionit nga regjistri i licencave.

Një zyrtar i FSTEC i Rusisë merr një vendim për dhënien ose refuzimin e dhënies së licencës brenda një periudhe jo më të gjatë se 45 ditë nga data e marrjes së kërkesës për licencë dhe dokumenteve të bashkangjitura (klauzola 14.1 e Rregullores).

Arsyet për refuzimin e dhënies së licencës janë (klauzola 14.3 e Rregullores):

prania në dokumentet e paraqitura nga aplikanti për licencë, informacione të pasakta ose të shtrembëruara;

mospërputhja e aplikantit për licencë, objekteve që i përkasin ose objekteve të përdorura prej tij me kërkesat dhe kushtet e licencës.

Licenca për të kryer veprimtari për mbrojtjen teknike të informacionit konfidencial jepet për një periudhë 5-vjeçare (klauzola 14.4 e Rregullores). Në të njëjtën kohë, që nga 30 janari 2011, madhësia e tarifave shtetërore është ndryshuar: për dhënien e licencës - 2600 rubla dhe për zgjatjen e vlefshmërisë së një licence - 200 rubla.

Siç mund të shihet nga skema dhe procedurat (Fig. 1), zyra qendrore e FSTEC të Rusisë është e përfshirë në licencimin e TZKI me përfshirjen e departamenteve të FSTEC të Rusisë në rrethet federale, ndryshe nga licencimi. procedurat e FSB të Rusisë, ku departamentet territoriale të FSB të Rusisë janë të angazhuara në licencimin në fushën e tyre të përgjegjësisë. Kohëzgjatja e procesit të licencimit TZKI në kohë mund të zgjasë nga dy deri në gjashtë muaj dhe të sjellë kosto të konsiderueshme financiare, veçanërisht në rastin e blerjes së pajisjeve të kontrollit dhe matjes.

A është e mundur të largohemi nga nevoja për të licencuar veprimtaritë e organizatave dhe ndërmarrjeve për TZKI? Rekomandimet e FSTEC të Rusisë përfundojnë në nevojën për të lidhur një marrëveshje me një organizatë të licencuar për TZKI, ndërsa prania e licencës së specifikuar për operatorin nuk është një kërkesë e detyrueshme.

Rekomandimet e FSTEC të Rusisë për të lidhur marrëveshje me të licencuarit, nga të cilat ka më pak se 2000 në regjistër, nuk lejojnë zgjidhjen e problemit të mbrojtjes së informacionit konfidencial. Sipas vlerësimeve të ekspertëve, ka vetëm 5-7 milionë operatorë të të dhënave personale në Rusi, pa llogaritur operatorët që përpunojnë lloje të tjera të informacionit të kufizuar që i nënshtrohen mbrojtjes në përputhje me ligjin federal. Për më tepër, një marrëveshje me një të licencuar zakonisht lidhet vetëm për një sasi të caktuar pune dhe shërbimesh, si rregull, vetëm për krijimin e një sistemi për mbrojtjen e informacionit konfidencial.

Cilat janë rreziqet me të cilat përballen shumica e organizatave që nuk kanë dhe nuk planifikojnë të marrin licenca për TZKI ose të marrin shërbimet e organizatave me një licencë të tillë, duke pasur parasysh politikën e pandryshuar shtetërore dhe pozicionin e FSTEC të Rusisë? Çdo organizatë duhet të vendosë vetë nëse është e nevojshme të merret një licencë e tillë. Nuk ka dënime administrative për kryerjen e punës pa licencë për aktivitetet TZKI nga FSTEC e Rusisë, dhe në situatën aktuale nuk ka gjasa që këto gjoba të shfaqen, pasi në kushtet e papërsosmërisë së legjislacionit tonë për mbrojtjen e informacionit konfidencial , gjykatat interpretojnë normat e ligjeve federale në mënyra të ndryshme dhe përgjegjësinë për mosrespektimin e tyre ... Si rezultat, ashpërsia e Rezolutës kompensohet nga natyra jodetyruese e zbatimit të saj. Për shembull, neni 14.1 i Kodit Administrativ të Federatës Ruse parashikon përgjegjësinë për "Kryerjen e veprimtarive sipërmarrëse pa regjistrim shtetëror ose pa leje (licencë) të veçantë". Sipas nenit 2 të Kodit Civil të Federatës Ruse, "sipërmarrësia është një veprimtari e pavarur e kryer me rrezikun e vet, që synon përfitimin sistematik nga përdorimi i pronës, shitja e mallrave, kryerja e punës ose ofrimi i shërbimeve. nga personat e regjistruar në këtë cilësi në mënyrën e përcaktuar me ligj”. Vetëm kjo sugjeron që neni 14.1 mund të zbatohet vetëm për ata që ofrojnë shërbime dhe fitojnë para nga garantimi i sigurisë së informacionit, d.m.th. të licencuar të FSTEC dhe FSB të Rusisë. Ky artikull nuk ka të bëjë fare me shumicën dërrmuese të organizatave që përpunojnë informacione konfidenciale (informacione për akses të kufizuar që nuk përbëjnë sekret shtetëror). Sipas shumë specialistëve të mbrojtjes së informacionit, për shumicën e organizatave joqeveritare që nuk kanë lidhje me mbrojtjen e sekretit shtetëror, vetëm format e menaxhimit të mbrojtjes së informacionit konfidencial janë realisht të mundshme përmes përdorimit rekomandues të akteve ligjore rregullatore, udhëzimeve dhe dokumenteve metodologjike. të rregullatorëve, dokumenteve organizative dhe administrative të organizatave, përdorimi i sistemeve dhe sigurisë së informacionit të zhvilluara dhe të testuara në interes të autoriteteve publike dhe ndërmarrjeve të tyre vartëse. Në këtë rast, baza për funksionimin e sistemeve për mbrojtjen e informacionit konfidencial është zgjedhja personale e pronarit të informacionit të shkallës së mekanizmave të tij të sigurisë dhe mbrojtjes. Në të njëjtën kohë, sipas përvojës së vendeve me legjislacion të zhvilluar në fushën e sigurisë së informacionit, faktorë përcaktues janë rreziku i pjesëmarrësve në marrëdhëniet e informacionit dhe përgjegjësia e tyre personale për masat e marra për mbrojtjen e informacionit konfidencial. Në Rusi, kjo qasje, për shembull, u zbatua kur u prezantuan Standardet e Bankës së Rusisë në organizatën RF BS, kur kërkesat për marrjen e licencave për mbrojtjen teknike të informacionit konfidencial dhe kërkesat për certifikimin e sistemeve të informacionit të të dhënave personale nuk janë i detyrueshëm (në përputhje me pikën 9.6 STO BR IBBS- 1.0-2010).

Alexander Katarzhnov

Ph.D., Profesor i Asociuar, Qendra Arsimore NOU DO "EUREKA"

Ditë të mbarë, të dashur lexues!

Sot, për herë të parë pas shumë kohësh, përsëri vendosa të ngre temën e punës me të dhënat personale, pasi mendoj se jo të gjitha pyetjet janë sqaruar më herët dhe risitë në legjislacionin tonë dinamik nuk vonojnë të vijnë. Ka me të vërtetë shumë veçori. Në veçanti, u shfaq Urdhri i FSTEC "Për miratimin e përbërjes dhe përmbajtjes së masave organizative dhe teknike për të garantuar sigurinë e PD gjatë përpunimit të tyre në ISPD" Nr. 21 datë 18.02.2013, u shfaqën ndryshime të reja në 152-FZ ". Për PD-në”, dhe sigurisht, si rrjedhojë, u ngrit sërish pyetja për interpretimin e disa kërkesave të kuadrit tonë rregullator. E gjithë kjo, natyrisht, kërkon një rishikim të pikëpamjeve ekzistuese për mbrojtjen e të dhënave personale dhe veprimet e operatorëve të pers. të dhëna. Sidomos në lidhje me ndryshimin e vazhdueshëm të pikëpamjeve për këtë çështje të rregullatorëve - FSTEK dhe Roskomnadzor. Kam shkruar shumë nga këto gjëra në artikullin në lidhje me procedurën e re për operatorin këtu.

Dhe tani do të flasim për gjërat thelbësore në kohën tonë dhe ende nuk është ndriçuar nga unë pyetje: A ka nevojë operatori i PD-së për licencë për mbrojtjen teknike të informacionit konfidencial? Dhe nëse po, kur dhe pse? Nëse jo, ose nëse vërtet nuk dëshironi, atëherë si t'i shpjegoheni siç duhet rregullatorëve. Pyetjet, shikoni, janë shumë aktuale dhe shumë të rëndësishme. Marrja e një licence të tillë, edhe në formatin e saj më të thjeshtuar, nuk është e lirë, si nga pikëpamja financiare, ashtu edhe nga pikëpamja e nervave dhe përpjekjeve të shpenzuara.

Kështu që. A kemi nevojë për një licencë FTEK për mbrojtjen teknike të informacionit konfidencial, të cilën në fakt jemi të detyruar ta kryejmë nga e gjithë 152-FZ "Për PD"? Është e pamundur t'i përgjigjemi kësaj pyetjeje pa mëdyshje për të gjitha situatat e mundshme. Prandaj, ne do të analizojmë opsionet specifike.

Për të filluar, le të përpiqemi të kuptojmë se nga lindi kërkesa për licencimin e aktiviteteve të TZKI? E gjitha është në pikën 5 të pjesës 1 të nenit 12 të 99-FZ "Për licencimin e llojeve të caktuara të aktiviteteve", i cili thotë drejtpërdrejt se aktivitetet për fjalë për fjalë "mbrojtjen teknike të informacionit konfidencial" i nënshtrohen licencimit. Më tej, pse PD-të në përgjithësi janë të tilla? Së pari, ekziston neni 7 152-FZ, emri i të cilit vetëm ("konfidencialiteti i të dhënave personale") tashmë thotë shumë. Gjithashtu ka edhe Dekretin Presidencial nr.188 “Për miratimin e listës së informacionit konfidencial” datë 06.03.1997, paragrafi i parë i të cilit thotë: “Çdo informacion për jetën private të një qytetari, si dhe ato që lejojnë identifikimin e tij. identiteti, është PD”, dhe janë përfshirë në listën në shqyrtim. Është e qartë. Dhe së fundi: pse veprimtaria e operatorit bie nën TZKI? Sepse 152-FZ e detyron atë ta bëjë këtë. Kjo, në fakt, është e gjitha. Duket se këtu nuk mund të ketë pyetje. E gjithë logjika e ligjit gjurmohet qartë, por jo gjithçka është aq e trishtuar sa duket në shikim të parë. Le të kalojmë tek ato opsione.

Opsioni i parë dhe më i zakonshmi - ne mbrojmë të dhënat personale për nevojat tona(d.m.th. punonjësit dhe/ose klientët e tyre), të cilat përpunohen ekskluzivisht për nevojat e tyre (ose në interes të subjektit të PD). Për lumturinë tonë të madhe, më 30 maj 2012 në faqen e internetit të FSTEC kishte mesazhin informativ Nr. 240/22/2222 "Për nevojën për të marrë një licencë nga FSTEC e Rusisë për mbrojtjen teknike të informacionit konfidencial". Teksti i tij është i disponueshëm, për shembull,. Nuk do ta jap këtu (kush është i interesuar do të ndjekë lidhjen në fjalinë e mëparshme), do të them vetëm kuptimin: nëse është i ligjshëm. një person kryen veprimtari në TZKI, e cila nuk ka për qëllim fitimin, ofrimin e shërbimeve dhe nuk është e përfshirë në dokumentet përbërëse, atëherë nuk është e nevojshme të merret një licencë e duhur. Prandaj, opsioni "për nevojat e veta" nuk kërkon marrjen e detyrueshme të një licence të tillë. Sidoqoftë, këtu ka nuanca.

Çfarë duhet të bëjmë nëse nuk duam të përdorim mjete të certifikuara për mbrojtjen e informacionit kriptografik, nëse paragrafi 3 i pjesës 2 të Artit. 19 152-FZ e kërkon atë? Kjo kërkohet edhe nga pika 13.g në PP nr. 1119: "përdorimi i mjeteve të mbrojtjes së informacionit që kanë kaluar procedurën për vlerësimin e pajtueshmërisë me kërkesat e legjislacionit të Federatës Ruse në fushën e sigurisë së informacionit, në rastin kur përdorimi i mjeteve të tilla është i nevojshëm për të neutralizuar kërcënimet aktuale." Pikërisht këtë “domosdoshmëri” mund ta përcaktojë vetëm dikush që është ekspert në fushën e sigurisë së informacionit, d.m.th. ka licencë TZKI. ;) Për më tepër, PP-1119 përmban një kërkesë për përpilimin e një modeli kërcënimi, i cili përmban konceptin e kërcënimeve aktuale të 3 llojeve. Dallimi në lloje është prania e kërcënimeve që lidhen me aftësitë e padeklaruara në lloje të ndryshme softuerësh. Nëse përballemi me të, atëherë NDV si në softuerin e aplikuar ashtu edhe në atë të sistemit janë gjithmonë të rëndësishme dhe për të gjithë... Por lloji i parë i kërcënimeve e bën ISPD-në tonë një klasë tepër të lartë, e cila kërkon përmbushjen e një grumbulli të tërë kërkesash mbrojtjeje. Si mund ta zgjidhni problemin e shmangies së llojeve 1 dhe 2 të kërcënimeve aktuale? Ekzistojnë dy mundësi: ose të përdorni të gjithë softuerin e sistemit / aplikacionit të certifikuar për NDV (gjë që është joreale), ose të merrni një licencë për TZKI, e cila jep të drejtën për të kryer vlerësime të tilla ekspertësh. Në të gjitha rastet e tjera, mund të shfaqen prera të gjata dhe të pakëndshme me një rregullator. Si të jesh? Gjithçka është shumë e thjeshtë. Mund të kontaktoni të licencuarin FSTEC për TZKI dhe t'i kërkoni që të ofrojnë shërbime në këtë çështje specifike (analizë e kërcënimeve aktuale). Siç thonë ata, të lirë dhe të gëzuar. :) Çështja me mjetet kriptografike të certifikuara zgjidhet në mënyrë të ngjashme.

Opsioni i dytë - ne mbrojmë / përpunojmë të dhënat personale të një personi tjetër juridik. personi (klientët/punonjësit e tij). Këtu gjërat përkeqësohen. Në përputhje me të njëjtin mesazh informacioni FSTEC, si dhe me konsideratat e përgjithshme ligjore të mësipërme, do të nevojitet një licencë. Dhe këtu nuk ka opsione: ose merrni ose transferoni përpunimin e të dhënave tek i licencuari.

Opsioni tre - ne ofrojmë shërbime për mbrojtjen e të dhënave personale (ose për TZKI), ose aktiviteti për mbrojtjen e të dhënave personale është i përcaktuar në dokumentet përbërës. Duamu, bazuar në tekstin e mësipërm, gjithçka është e qartë. Sa i përket dokumenteve përbërëse, është më e lehtë, natyrisht, thjesht t'i ribërë se sa të vuash me të gjitha sa më sipër. ;)

Një pikë e rëndësishme: Aktiviteti i TZKI-së është pikërisht dizenjimi i një sistemi sigurie (IS i të dhënave personale apo çdo gjë tjetër - nuk ka rëndësi), d.m.th. përpilimi i një modeli kërcënimi, përzgjedhja e elementeve të sigurisë së informacionit, etj.! Vetë funksionimi i një sistemi të gatshëm tashmë funksional, për të cilin tashmë gjithçka është përzgjedhur dhe të gjitha modelet janë hartuar, nuk mbrohet dhe nuk bie në veprimtari të licencuar! Kjo është arsyeja pse opsioni me përfshirjen e një të licencuari për hartimin e një ISPD të sigurt në opsionin "më të lirë" - ky, si rregull, është më fitimprurës dhe i përshtatshëm(nëse, sigurisht, flasim për përpunimin e PD për nevojat tona).

Kjo, në fakt, është e gjitha. Unë mendoj se tani, të dashur lexues, nuk do të keni më asnjë pyetje në lidhje me nevojën për të marrë një licencë.

Sinqerisht,
Lysyak Alexander

Licenca FSTEC është një leje e veçantë shtetërore që ju lejon të kryeni aktivitete legjitime që lidhen drejtpërdrejt me krijimin dhe përdorimin e softuerit ose teknologjive inovative. Licencat zbatohen për ruajtjen e të dhënave të informacionit ose krijimin e bazave të të dhënave për ruajtjen e tyre.

Licenca FSTEC në Moskë dhe në rajone të tjera të Rusisë me specialistë nga Grupi i Kompanive AP-Real - marrja e një licence pa probleme. Licenca për mbrojtjen e informacionit - një gamë e plotë shërbimesh në licencimin e FSTEC.

Autoriteti licencues: Shërbimi Federal për Kontrollin Teknik dhe Eksport
Periudha e vlefshmërisë së licencës: në mënyrë të pacaktuar.
Territori i veprimit: I gjithë territori i Federatës Ruse
Periudha e lëshimit të licencës: 45 ditë pune.

Çmimi i licencës FSTEC (ndihmë në marrjen e): nga 250,000 rubla

Licenca FSTEC e Rusisë është e disponueshme për aplikantët nga rajone të ndryshme të vendit, por autoriteti i licencimit është ekskluzivisht Shërbimi Federal për Kontrollin Teknik dhe Eksport, i vendosur në qytetin e Moskës. Periudha e vlefshmërisë së lejes zyrtare përcaktohet si e pacaktuar, dhe gjeografia e ndikimit kufizohet nga kufijtë zyrtarë të shtetit.

Periudha gjatë së cilës aplikanti merr lejet është 45 ditë nga data e dorëzimit të dokumenteve pranë autoritetit shtetëror mbikëqyrës.

Marrja e llojeve të ndryshme të licencave FSTEC

Procesi i licencimit mund të vazhdojë në tre mënyra:

  1. Vetë-apelim. Është e vështirë ta quash këtë metodë optimale. Një aplikant i patrajnuar, si rregull, humbet një sërë pikash kyçe që lidhen me sjelljen e dokumentacionit të nevojshëm në formën e kërkuar dhe kalimin e trajnimit në kohë për punonjësit dhe menaxherin. Në këtë drejtim, procesi i marrjes së lejeve mund të marrë më shumë kohë dhe, si rezultat, të zvogëlojë fitimin e mundshëm të ndërmarrjes.
  2. Transferimi i pjesshëm i autoritetit për trajnimin para licencimit tek specialistët. Kjo është një metodë më efikase për të kaluar nëpër procedurën e licencimit. Specialisti mbikëqyr procesin duke drejtuar drejtuesin e kompanisë. Por, vlen të theksohet se në këtë rast, mbështetja ligjore nuk mund të jetë e plotë dhe, në përputhje me rrethanat, nuk mund të ketë as garanci për rezultatin.
  3. Mbështetje e plotë e procesit. Marrja e licencës FSTEC me pjesëmarrjen e specialistëve garanton një rezultat të suksesshëm. Ne kemi jo vetëm specialistë të kualifikuar me përvojë në çështjet e licencimit, por edhe kuadrin ligjor teknik dhe rregullator të nevojshëm për të siguruar përputhjen e plotë të aplikantit me kërkesat e autoritetit kontrollues.

Një gamë e plotë shërbimesh na lejon jo vetëm t'i ndihmojmë ndërmarrjet të marrin licencën e nevojshme për aktivitetet e tyre, por edhe të jenë gati për inspektime të mundshme gjatë inspektimeve të planifikuara ose të paplanifikuara.

Llojet e licencave FSTEC

ФЗ №99 datë 4.05.11. "Për licencimin e disa llojeve të veprimtarive" rregullon qartë listën e industrive të detyrueshme për licencim. Para së gjithash, është e nevojshme të merrni një licencë FSTEC:

  • për të marrë pjesë në tenderat e qeverisë;
  • zbatimin e aktiviteteve që lidhen me zhvillimin dhe prodhimin e sistemeve të informacionit kriptografik;
  • zbatimin e aktiviteteve që lidhen me TZKI;
  • gjatë përpunimit të të dhënave personale.

Licencimi i FSTEC të Rusisë në industrinë TZKI rregullohet me Dekretin e Qeverisë së Federatës Ruse të datës 3 shkurt 2012 nr. 79 "Për licencimin e veprimtarive për mbrojtjen teknike të informacionit konfidencial". Periudha e vlefshmërisë është e pakufizuar, por ndërmarrjet gjatë veprimtarisë së tyre duhet të jenë të gatshme të konfirmojnë kërkesat për të licencuarit.

Licencimi në industrinë e mbrojtjes së informacionit kriptografik () kontrollohet nga Dekreti i Qeverisë së Federatës Ruse, datë 3 Mars 2012 Nr. 171 "Për aktivitetet e licencimit për zhvillimin dhe prodhimin e mjeteve për mbrojtjen e informacionit konfidencial". Dokumenti zyrtar përcakton kërkesat për aplikantët për këtë licencë.

Kërkesat për një licencë FSTEC në Moskë

Në mënyrë që aplikanti të marrë leje zyrtare për të kryer aktivitete në industri, ai ka nevojë për dëshmi dokumentare të pajtueshmërisë me kërkesat e mëposhtme:

  • Disponueshmëria e punonjësve me arsim të lartë në drejtimin “Siguria e Informacionit”. Lejohet tërheqja e specialistëve me arsim të mesëm teknik të profilit të ngjashëm, me kusht që ata t'i nënshtrohen rikualifikimit profesional, që zgjat të paktën 360 orë akademike (është e detyrueshme të paraqitet një certifikatë e përfundimit të suksesshëm të trajnimit). Është gjithashtu e rëndësishme të kesh përvojë pune në fushën e sigurisë së informacionit.
  • Prania e pronësisë ose në bazë të qirasë, nënqira (kërkohet një marrëveshje e vlefshme qiraje) e lokaleve të nevojshme për zbatimin e aktiviteteve profesionale. Zonat e punës duhet të jenë në përputhje me rregulloret në fuqi të qeverisë.
  • Disponueshmëria e pajisjeve të nevojshme në pronësi ose me qira (kërkohet një marrëveshje e vlefshme qiraje). Çdo njësi teknike duhet të shoqërohet me certifikata verifikimi dhe certifikatat e nevojshme që konfirmojnë saktësinë e të dhënave të dhëna.
  • Disponueshmëria e softuerit të përditësuar të kërkuar për të kryer biznes në industri.
  • Disponueshmëria e dokumenteve normative dhe metodologjike me vulën "DSP" dhe GOST.
  • Disponueshmëria e një ambienti të certifikuar dhe një stacioni pune të automatizuar të certifikuar (AWS) në përputhje me kërkesat aktuale

Licenca FSTEC parashikon pajtueshmërinë e plotë të të licencuarit dhe trajnimin e stafit për zbatimin e këtij aktiviteti.

Urdhri i procesit të licencimit

Licenca e FSTEC të Rusisë me pjesëmarrjen tonë është që specialistët tanë të marrin përsipër detyrimet e mëposhtme:

  • përgatitja e dokumentacionit të nevojshëm dhe sjellja e tij në formën e vendosur;
  • mbajtja, nëse është e nevojshme;
  • përgatitja dhe dorëzimi i një aplikacioni tek autoriteti licencues (pavarësisht vendndodhjes së aplikantit);
  • certifikimi i ambienteve dhe i vendit të automatizuar të punës;
  • marrjen e provave dokumentare të dorëzimit të dokumenteve;
  • kryerjen e procedurave për eliminimin e mangësive dhe komenteve të publikuara, nëse është e nevojshme;
  • marrjen e lejes (licencës) zyrtare dhe transferimin e saj te i licencuari.

Disa lloje të licencave FSTEC kërkojnë një licencë FSB për të punuar me informacione që janë sekret shtetëror.

Ne garantojmë për aplikantët marrjen e licencës dhe përputhjen e plotë të ndërmarrjes me kërkesat shtetërore në të gjitha fazat e veprimtarisë së saj të mëtejshme sipërmarrëse.

Pjesëmarrje në ekspozita dhe konferenca në fushën e sigurisë së informacionit

Specialistët e Grupit të Kompanive AP-Real ndjekin rregullisht ekspozita dhe konferenca tematike, duke qenë kështu gjithmonë në trendin e të gjitha risive në fushën e sigurisë së informacionit. E gjithë përvoja e fituar zbatohet gjithmonë në praktikë. Përvoja jonë e madhe u mundëson avokatëve tanë të ofrojnë këshilla me cilësi të lartë se çfarë pajisje duhet të jetë në një organizatë që merret me mbrojtjen e të dhënave ose me zhvillimin e mjeteve të sigurisë së informacionit.

Së fundmi, punonjësit tanë vizituan ekspozitën për sigurinë e informacionit nga INTERPOLITEX - 2018. Organizatorët e ekspozitës ishin forcat e Ministrisë së Punëve të Brendshme (MVD), Shërbimit Federal të Sigurisë (FSB) dhe Gardës Ruse. Foto-raporti mund të shihet në faqe.


Artikujt kryesorë të lidhur

Shtojca e Sigurisë LockDown Login WordPress - Mbrojtja nga Hack
Shtojca e Sigurisë LockDown Login WordPress - Mbrojtja nga Hack
Shkëmbimet e shkrimit të kopjimit - blerja dhe shitja e artikujve
Shkëmbimet e shkrimit të kopjimit - blerja dhe shitja e artikujve
Krijoni një formë të personalizuar të listës duke përdorur SharePoint Designer
Krijoni një formë të personalizuar të listës duke përdorur SharePoint Designer
Kategoritë:
© 2022 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.