Аттестация объекта ИТ для обработки КТ

[Che]

В августе текущего года утверждено Положение «О лицензировании деятельности по технической защите конфиденциальной информации» (Постановление Правительства РФ №504).

В результате, чего признаются утратившими силу Пост. Пр-ва РФ:

«О лицензировании деятельности по технической защите конфиденциальной информации»(от 30.04.2002 г. N 290),

«О внесении изменения в Положение о лицензировании деятельности по технической защите конфиденциальной информации»(от 6.02.2003 г. N64) , пункт 2 изменений, которые вносятся в акты правительства РФ по вопросам лицензирования отдельных видов деятельности, утвержденных 17.12.2004 г N807.

 

Изменения в положении о лицензировании от 15 августа 2006г.

Согласно новому документу для того, чтобы получить лицензию на деятельность по технической защите информации, организация должна соответствовать 18 пунктам документа. (в старой версии положения 11).

Введенные новые требования обязывают компании, занимающиеся защитой информации, иметь в штате специалистов с высшим профессиональным образованием в области технической защиты информации, либо имеющих высшее или среднее профессиональное образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации.

Также от соискателя лицензии требуется наличие испытательного и контрольно-измерительного оборудования, прошедшего метрологическую поверку, маркирование и сертификацию, а также наличие договора с правообладателем, разрешающего использовать в работе определенные программы и базы данных.

Серьезных изменений в порядке лицензирования этой деятельности не произошло. Ранее лицензирующему органу предоставлялась пояснительная записка, в которой указывались необходимые дополнительные сведения, то сейчас такая информация выделена в отдельные пункты постановления.

Ужесточились и требования к регулятору. Например, в новом положении подчеркнуто, что указанный список документов, предъявляемых лицензиатом, является исчерпывающим и никаких других документов лицензирующий орган требовать не имеет права. Также срок рассмотрения заявления уменьшился с 60 до 45 дней.

Лицензирующим органом осталась Федеральная служба по техническому и экспортному контролю. Как и срок действия лицензии (5 лет).

При этом лицензии на осуществление деятельности по технической защите конфиденциальной информации, предоставленные в установленном порядке до принятия настоящего постановления, действительны до окончания указанного в них срока.

 

Кто должен получать данные лицензии?

Согласно ст.17 ФЗ «О лицензировании отдельных видов деятельности» в перечень видов деятельности, на осуществление которых требуются лицензии входит и деятельность по технической защите конфиденциальной информации. В Положении «О лицензировании деятельности по технической защите конфиденциальной информации» понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней. Отсюда следует, что все организации (в том числе и МУПы, ЖЭКи, больницы, поликлиники и другие учреждения), которые осуществляют мероприятия по технической защите конфиденциальной информации, должны получать лицензии. Однако в настоящий момент данный механизм не работает и подобные организации лицензии не получают, так как это сопряжено со многими трудностями, такими как, отсутствие законодательных документов определяющих, как защищать конфиденциальную информацию, необходимость применения в своих АС сертифицированных средств защиты информации, наличие квалифицированных сотрудников в области защиты информации и др.

Возможно ситуация измениться со вступлением в силу ФЗ «О персональных данных»( январь 2007 г.), в котором излагается каким образом необходимо защищать персональные данные.

Тем немение мне кажеться мало вероятным, что такие организации, как поликлиники, будут получать лицензии на данный вид деятельности. Возможным решением данной проблемы может являться станет заключение договоров с организациями, уже имеющими лицензию на данный род деятельности, и имеющая возможность проводить комплекс мер по технической защите информации.

При этом необходимо четко прописывать ответственность организаций, оказывающих данные услуги, так как в ФЗ «Об информации, информационных технологиях и защите информации» есть ст. 16 п.3, которая говорит о том, что в случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:

1.либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;

2.либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.

[korwin76]

В целях охраны конфиденциальности информации работодатель обязан:

*....

*создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.

*....

(СМ. закон о КТ)

 

так вот я обеспечу конфиденциальность обрабтки КТ в системе (фактически), но кто определит что эти меры достаточны. По конфиденциалке понятно, провел аттестацию, получил аттестат соответствия по СТР-К и все можно в случае чего за хобот и в суд. А как не имея заключения соответствующего органа (имеющего лицензию на выдачу таких заключений).

 

каков критерий достаточности защиты КТ, просто читая закон о КТ постоянно всплывает обеспечение конфиденциальности обработки КТ. (это как понимать, что вступает в силу СТР - К или как)

 

К чему я это все говорю, не дай бог дело дойдет до суда по факту утечки КТ, не хочу получить отказ потому что мы не выполнили ЗАКОН.

 

Развейте мои сомнения !!!!

[korwin76]

Уважаемый Сhe вопрос не в защите собственно конфиденциальной информации (в том числе персональные данные - в чистом виде конфиденциальная информация и подлежит защите согласно требований СТР-К), вопрос по закону о комерческой тайне, если я хочу ввести режим коммерческой тайны на предприятии надо проводить аттестацию в соответствии с СТР-К или нет. Т. Е. "Коммерческая тайна"="Конфиденциально" -->СТР-К или "Комерческая тайна" --> я определяю достаточность мер по ее защите и этого достаточно что бы суд согласился что я предпринял меры по обеспеченю работнику условий для работы информацией составляющеу КОММЕРЧЕСКУЮ ТАЙНУ, вот я о чем

[Che]

Уважаемый, korwin76

 

Если речь идет только о коммерческой тайне, - т.е. о конфиденциальной информации, позволяющей ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду - то аттестация объекта информатизации в этом случае не требуеться. Вернее являеться добровольной. Проводить её или нет - решать вам. Опять же наличие аттестованных рабочих мест не есть гарантия от утечки... снова вмешиваеться пресловутый человеческий фактор.

 

[Che]

Для того чтобы требовать от сотрудников выполнения обязательства о неразглашении коммерческой тайны, руководству необходимо соблюсти ряд условий:

 

Во-первых, лицо - обладатель коммерческой тайны - должно распространить на нее режим конфиденциальности. Это может быть сделано путем определения перечня сведений, относящихся к коммерческой тайне, утверждаемого администрацией компании.

 

Во-вторых, работник, имеющий доступ к таким сведениям, должен быть ознакомлен с таким перечнем. Факт ознакомления, во избежание возможных недоразумений, должен быть подтвержден подписью работника.

 

В-третьих, работнику должны быть разъяснены особенности режима коммерческой тайны и ответственности за ее разглашение. Данная информация, как правило, содержится в положении о коммерческой тайне, утверждаемом администрацией компании. Факт ознакомления работника с этим положением, как и с указанным выше перечнем сведений, должен быть подтвержден документально.

 

В-четвертых, трудовой или гражданско-правовой договор (например, договор подряда) с лицом, имеющим доступ к коммерческой тайне, должен содержать положение, содержащее обязательство о неразглашении коммерческой тайны.

 

Сотрудника, виновного в разглашении коммерческой тайны можно привлечь к гражданской, административной и уголовной ответственности. Если работник открыл коммерческую или служебную тайну, нарушив условия трудового договора, то он обязан возместить все убытки, причем не только те, что вызвали реальный ущерб, но и упущенную выгоду (ст. 15 ГК).

 

Если же сотрудник будет незаконно собирать засекреченные сведения, то ему грозит штраф или два года лишения свободы - конечно, только по решению суда. Причем здесь достаточно уже того, что он просто собирает эту информацию, и неважно - разгласил он ее или нет. Если же он раскрыл и использовал эти сведения без согласия владельца из корысти или личной заинтересованности, а это причинило крупный ущерб компании, то посадить могут на три года.

 

Однако, привлечь к уголовной ответственности сотрудника предприятия можно, только если соблюдены три условия:

 

если в трудовом договоре четко указана обязанность сотрудника хранить коммерческую тайну.

если руководитель составил и утвердил перечень сведений, которые составляют коммерческую тайну.

если этот список был доведен руководством до сведения работников под роспись.

 

Руководство может привлечь сотрудников и к дисциплинарной ответственности. По статье 243 Трудового кодекса, если работник разгласит засекреченные сведения, то понесет материальную ответственность в полном размере причиненного ущерба. Более того, руководство имеет право такого сотрудника уволить (ст. 81 ТК).

 

В заключение хочется обратить внимание на то, что обязанность хранить коммерческую информацию в тайне не исчезает после увольнения с предприятия. По закону, уволенный сотрудник обязан хранить коммерческую тайну и после увольнения, в течение срока, установленного соглашением с работодателем. Если же такое соглашение не заключено, то минимальный срок для хранения тайны - 3 года.