`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Александр Хомутов

Занимаетесь информационной безопасностью – а где же ваша лицензия?

+416
голосов

Нельзя сказать, что на рынке Украины наблюдается вакуум в области решений для информационной безопасности. Найти можно все – от антивирусного ПО до тяжеловесных систем, направленных на предотвращение утечки конфиденциальной информации (DLP).

Но есть один вопрос, о котором, как правило, клиенты, не знают или же просто забывают о нем. Дело в том, что данный вид деятельности требует лицензирования. Вот ведь парадокс, каждый из нас, обращаясь в турагентство всегда особое внимание обращает, выдана ли лицензия оператору на оказание такого вида услуг. Что движет вами в этот момент? Верно, вы заботитесь о качестве и безопасности вашего отдыха. А вот вопросы связанные с бизнесом почему-то не вызывают у нас столь трепетного отношения, тут что-то видимо на уровне психологии восприятия.

А ведь даже закон есть, согласно которому запрещается внедрять, обслуживать и проводить исследование (аудит) эффективности систем и предметов технической информации организациям без лицензии ГССЗИУ (Закона Украины «О лицензирование определенных видов деятельности» (статья 9, пункт 16). Решили обратиться к поставщику антивирусного программного обеспечения за услугой инсталляции на персональные компьютеры и сервера данного ПО — обязательно поинтересуйтесь, есть ли у него на это разрешение, да и сами перепроверьте.

Что касается средств криптографической защиты, то здесь дела обстоят еще серьезнее. Компании без лицензии КЗИ на право торговли не могут распространять средства криптозащиты, а клиенты, в свою очередь, использовать без лицензии КЗИ на право использования (Закон, приведенный выше, статья 9, пункт 14).

Интересен ответ на вопрос: какую ответственность несут организации-покупатели, которые приобрели средства криптографической защиты у компаний не-лицензиатов? Во-первых, вы можете лишиться продукта, который приобрели у компании Поставщика, не имеющей права торговли (статья 164 КоАП). После того, как купленное средство было изъято, ваша организация попадает под статью уголовного кодекса о скрытии налогов (статья 212, 222 УК Украины). А все из-за того, что деньги вы уплатили за продукт, которого у вас НЕТ. Тут уже будут отвечать руководитель и главный бухгалтер компании, да и вы в том числе, так как выбрали компанию поставщика, не имеющую на то право.

Статьей 148-3 Уголовного кодекса предусмотрено наказание в виде штрафа до двухсот минимальных размеров заработной платы с лишением права занимать определенные должности либо заниматься определенной деятельностью на срок до трех лет. Дело может дойти до конфискации имущества, если таково будет решение суда — согласно статье 41 Конституции Украины.

Еще один важный момент. Компании, которые прошли лицензирование в государственных органах и имеют право введения хозяйственной деятельности по защите технических средств информации, обязательно должны иметь в штатном расписании профильных специалистов.

Я вовсе не собираюсь кого-то и чем-то устрашать. Желающих это сделать в нашей стране и без меня хватает. Но некоторые элементарные вещи, в данном случае в вопросе использования и внедрения средств информационной защиты, нужно знать всем, кто с этим сталкивается. Хотелось заострить ваше внимание на этой теме. Ну и еще раз напомнить, что информация — это ценный актив предприятия, а иногда и взрывоопасный. Нужно быть начеку.

Дополнительную информацию о компании и ее решениях вы можете найти на специальной странице http://ko.com.ua/itland
+416
голосов

Напечатать Отправить другу

Читайте также

Пожалуйста, осветите поподробнее вопрос использования средств КЗИ. А то получается так: в Windows (Linux/MaOS/whatever) встроены средства шифрования, в любое Wi-Fi устройство встроены средства шифрования, в любой GSM-телефон встроены средства шифрования. Домашние роутеры, PGPDisk'и, зашифрованные флешки, DECT, VPN-клиенты... "Посадим" всю страну? Или только весь бизнес? :)

UPD: Вот, нашел: http://zakon1.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=11-2010-%EF

Получается, покупателей, скорее всего, не посадят, а вот с требованием про "доступную для проверки документацию" можно поиграться...

Не понял, что за маразм лицензировать всякую хрень?
Донецкие к власти пришли? Конкурентов отсекаете.
Для продажи антивируса - лицензию?

Если я правильно понимаю, речь всё-таки идет не о продаже, а об установке и обслуживании.

Последнаяя поправка к закону была принята в 2009...

гаспада!
читайте законы сами и до конца, в частности

ПЕРЕЛІК криптосистем і засобів криптографічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню*

* За винятком криптосистем і засобів криптографічного захисту інформації, доступних у продажу через торговельно-роздрібну мережу без обмежень, криптографічні функції яких не можуть бути змінені самостійно користувачами, розроблених для встановлення користувачем самостійно без допомоги з боку постачальника і технічна документація (опис застосованого криптографічного алгоритму, протоколів взаємодії, інтерфейсів тощо) яких є доступною, зокрема для перевірки.

если кто не понял - любые свободно продающиеся стандартные средства криптозащиты, не подлежат лицензированию

так что не обращайте внимания на соскучившихся по черной икре директоров, с буйной фантазией, решивших попугать частных клиентов, оно и понятно - выход на уровень госструктур с такой лицензией http://www.itland.com.ua/file/iblock/9a8/DSTSZIU.jpg то закрыт

кстати,
организация попадает под статью уголовного кодекса о скрытии налогов (статья 212, 222 УК Украины)
интересно как с этим у автора? :-)
надо будет предложить бывшим коллегам внести в список предприятий, подлежащих комплексной проверке, ТОВ IT ЛЕНД :-)

14) розроблення, виробництво, використання, експлуатація,
сертифікаційні випробування, тематичні дослідження, експертиза,
ввезення, вивезення криптосистем і засобів криптографічного
захисту інформації, надання послуг у галузі криптографічного
захисту інформації (крім послуг електронного цифрового підпису),
торгівля криптосистемами і засобами криптографічного захисту
інформації (згідно з переліком, що визначається Кабінетом
Міністрів України); { Пункт 14 статті 9 із змінами, внесеними
згідно із Законом N 852-IV ( 852-15 ) від 22.05.2003; в редакції
Закону N 1571-VI ( 1571-17 ) від 25.06.2009 }

16) розроблення, виробництво, впровадження, обслуговування,
дослідження ефективності систем і засобів технічного захисту
інформації, надання послуг в галузі технічного захисту інформації;

Уважаемые господа!

Спасибо, за вопросы.
Данные аспекты обсуждения коснулись только юридических лиц, но никак не физических. Для соблюдения законов должен быть орган контроля и управления. В данном случае это Государственная служба специальной связи защиты информации Украины.

1. Нужна ли лицензия для продажи антивирусов?
Антивирусное программное обеспечение относиться к средствам технической защиты информации (ТЗИ) и может преобратиться, и продаваться без лицензии ГСССЗИУ. Лицензия от ГСССЗИУ разрешает внедрять, обслуживать и проводить исследование (аудит) эффективности систем и предметов технической информации организациям.

2. Средства КЗИ.
Средства КЗИ не могут ввозиться/вывозиться, продаваться, разрабатываться, использоваться без лицензии КЗИ.
Да, организация может купить средство КЗИ для дальнейшего его использования, но у компании с соответствующей лицензией. Когда Организация- Покупатель решит использовать средства КЗИ, она должна иметь разрешение на его использование.
Чем чревато, нарушение законов и норм. Тут я приведу один из возможных примеров.
Вы купили и зашифровали всю информацию на сервере, где у вас бухгалтерская база данных. Приходит к Вам заказная проверка от оппонента Warrax. Опечатывает или изымает технику, вы со спокойной душой и совестью отдаете им технику, так как уверенны в средстве криптозащиты. Выбранное средство вас в действительности не подвело. Но органы изъявшую у вас технику на этом не остановятся, так как зашифрованная информация не является «целостной», они обращаются в орган ГСССЗИУ и проверяют вас на наличие лицензии КЗИ на использование. Против вас начинается судебный процесс.

3. Зачем нужна лицензия от ГСССЗИУ?
Лицензия по защите ТЗИ и КЗИ выдается при наличии в штате сотрудников с профильным образованием, которые обладают знаниями не только области защиты информации, но и по нормативной и законодательной базе. Компания лицензиат контролируется ГСССЗИУ, что позволит привлечь компанию поставщика к ответственности.

1. Касательно криптосистем автор в трактовке Закона 100% прав, как говорится: нечего спорить.
2. Если говорить о «антивирусах», то с моей точки зрения, не все так очевидно. Согласно упомянутого и цитируемого здесь Закона контролирующим органом есть ГСССЗИУ. Так вот, согласно «ПЕРЕЛІКу робіт, які здійснюються в межах технічного захисту інформації» см. http://dstszi.gov.ua/dstszi/control/uk/publish/article?art_id=40043&cat_...
имеем, что получать лицензию надо если вы вовлечены в один из следующих процессов:

«3. Розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу, надання консультативних послуг.»

Хочу обратить внимание на три момента:

Момент первый (простой): речь идет о «информационных ТЕХНОЛОГИЯХ» по «защите от НЕСАНКЦИОНИРОВАННОГО доступа». (Посему вопрос к автору: «причем здесь Антивирусы?»)

Момент второй (сложнее), что считать «средствами/комплексами ТЕХНИЧЕСКОЙ защиты"? Потому как, если буквально, то «внедренцам» RAID контроллеров, «кластеров», ИБП (подключаемых к информационным системам) и прочего «железа» нужно тоже получать лицензию. Или я не правильно трактую прочитанное?

Момент третий (для меня самый сложный):
Как трактовать «надання консультативних послуг»? Вообще? Тогда консультировать по вопросам разработке нормативной документации касающееся СУИБ, оценке рисков, управлению информационными активами, правилами подбора персонала и прочее (см. ISO/IEC 2700x) делать без лицензии тоже нельзя!

Мнее бы очень, хотелось бы, что бы компетентные специалисты более детально разьяснили п. №3 «Переліку…» иначе эти моменты могут серьезно влиять на ЦИВИЛИЗОВАННОЕ развитие экспертизы ИБ в НАШЕЙ стране, где она и так хромает на обе ноги (IMHO).

Уважаемый Владимир,
В настоящее время каждый уважающий себя антивирус включает межсетевой экран.
Что касается второго момента, то вы действительно неправильно трактуете прочитанное, речь идет о ТЗИ и КЗИ.
Третий момент на самом деле не такой уж сложный, если организация решила своими силами внедрить или провести аудит СУИБ, то им не нужно получать лицензию. Если же они обращаются к сторонней организации за таким родом услуг, то организация консультант должна иметь лицензию.
Термин «консультационные услугами» общая фраза ничего не несущая, поэтому требует пояснения при заключения договора. Если этот вид услуг лицензируется, то соответственно требуется и лицензия на ведения хозяйственной деятельности в этой области.

1. Если имеете в виду "фаерволы", то так и пишите, потому как они далеко не только в у поставщиков «антивирусов» встречаются. Здесь по логике Вы должны с ОС начинать, там еще VPN и всякая другая всячина может иметь место быть…
2. С КЗИ понятно, а вот все таки, что такое ТЗИ?
3. Вопрос был риторический и был больше направлен законодателям ;-)

Что-то риторика для первого поста в бложике сильно жесткая. Просветили бы массы про ИБ сначала, а потом бы перешли в наступление на пару с Нетудыхатой...

-
Дилетант широкого профиля.
"(с) by BG"

Коллеги,
лицензия НЕОБХОДИМА в случае, если речь идет об информации, защита которой регламентируется законодательством Украины (в первую и почти единственную очередь - явялется собственностью государства).

Что касается других видов информации (согласно опрделения в ЗУ "Об информации"), то все не так ужасно, как изложил уважаемый автор. Например в банковской сфере приоритетными являются документы НБУ.

Для коммерческих организаций, в случае например продажи/внедрения системы антивирусной защиты в какой-нибудь банк, законодательство не требует наличия каких-либо лицензий.

Алексей, Закон Украины «Об информации» (N 2657-XII от 02.10.1992 г.) ввёл понятие «Информация с ограниченным доступом», которую по своему правовому режиму разделил на конфиденциальную и тайную.

Конфиденциальная информация - это сведения, которые находятся во владении, пользовании или распоряжении отдельных физических или юридических лиц и распространяются по их желанию согласно с предусмотренными ними условиями (ч.2 ст.30 Закона Украины „Об информации”).

Гражданский кодекс Украины в ст. 505 даёт определение коммерческой тайны, но не говорит о конфиденциальной информации. Коммерческой тайной есть информация, которая является секретной в том смысле, что она в целом или в определённой форме и совокупности её составных есть неизвестной и не есть легкодоступной для лиц, которые обычно имеют дело с видом информации, к которому она принадлежит, в связи с этим имеет коммерческую ценность и была предметом адекватных существующим обстоятельствам средств относительно сохранения её секретности, принятых лицом, которое законно контролирует эту информацию. Коммерческой тайной могут быть сведения технического, организационного, коммерческого, производственного и иного характера, за исключением тех, которые в соответствии с законом не могут быть отнесены к коммерческой тайне.

Согласно ч. 1 ст. 36 Хозяйственного кодекса Украины сведения, связанные с производством, технологией, управлением, финансовой и другой деятельностью субъекта хозяйствования, которые не являются государственной тайной, разглашение которых может причинить ущерб интересам субъекта хозяйствования, могут быть признаны его коммерческой тайной. Состав и объём сведений, которые составляют коммерческую тайну, способ их защиты определяются субъектом хозяйствования в соответствии с законом.

К тайной информации законодатель отнёс информацию, которая содержит сведения, составляющие государственную и иную предусмотренную законом тайну, разглашение которой причиняет ущерб лицу, обществу и государству.

Никто не заявляет о том, что ГСССЗИУ придет завтра и будет проверять банки или частные предприятия, которые используют средства ТЗИ. Нет, речь идет о том, что вид деятельности лицензированный и поэтому компании желающие заниматься этим видом деятельности должны иметь лицензию. Иначе они нарушают законодательство Украины.
А что касается покупки антивирусов, то тут и государственной структуре не нужно от поставщика товара (антивируса) лицензии ГСССЗИУ. Госорган будут требовать экспертный вывод на продукцию от ГСССЗИУ, но это не касается той темы, которую я затронул.

Александр,
Вы привели много полезной информации в части законодательства в сфере ИБ, которя в итоге сводится к следующему:
- деятельность в области ИБ действительно требует обязательного лицензирования, если речь идет об информации, требования по защите которой регламентируются законодательством (открытая и с ограниченным доступом, являющаяся собственностью государства).

Ничего другого ни в Вашей статье, ни в комментарии к моему посту не содержится.

Коллеги,
по моему мнению взаимное уважение проявлять следует даже если не хочется (или есть реальный повод не проявлять), предлагаю давать комментарии по существу.

А еще вот такое постановление КМУ начало действовать: http://zakon1.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=11-2010-%EF&myid=4/...
Самое важное - в конце.

гы-гы-гы :)))))))))))

кахда ниажыдано люди начинают аткрывать блохи, в каторых усех учать и стращають прям ва первых страках сваиво письма, то шось мабуть нэтак, шось мабуть забздилося у дацькому князивьстьви :)))))

а ваще канешно аникдотом выглядит комплецкный аудит системы безапаснасти силами канторы, у каторай за плечами токо лицэнзия дстсзи и пару спецов ну очииииииинь шырокаво прохвиля, но ниаднаво сиртификата этих спецов шось не вывешэно на сайте, ну хатяб микрософт сертифайд (я вжэ мавчу пра юнискы-линуксы) - нужнож рубить ну хатябы в апрерацыонке кампутеров унутри защыщаимово периметра:)

я хоть и не люблю давать саветы и рыкамендацыи, но тут прям так и хочецца сказать - вы прадайёте антивирусы? ну так и прадавайте!!! и не учите нас жыть :)))

Не кажется ли вам, что вы заблудились в прериях интернета, рекомендую перейти с вашим лексиконом на www.urod.ru

Что касается лицензий КЗИ

http://dstszi.gov.ua/dstszi/control/uk/publish/article?art_id=79836&cat_...
там есть и ІТ Ленд

Последние внедрения которые опубликованы
http://ko.com.ua/node/49369
http://ko.com.ua/node/46510

Дефицит кадров данной службы (у них ФОТ маленький, а воровать там особо нечего) позволяет предположить что проблемы-то и нет.. Зарегистрировать себе фирму в Ужгороде, получить лицензию у удивленных сотрудников недавно открывшегося областного терцентра и радоваться жизни и клиентам по всей стране.

"Приходит к Вам заказная проверка от оппонента Warrax. Опечатывает или изымает технику, вы со спокойной душой и совестью отдаете им технику, так как уверенны в средстве криптозащиты. Выбранное средство вас в действительности не подвело. Но органы изъявшую у вас технику на этом не остановятся ...".

Этой липой Вы можете пугать молоденьких девочек-бухгалтеров.
Я не обязан хранить деловую информацию на серверах. Пока дознаватель не назовет мне номер оперативного дела (а это закрытая информация), я просто не буду с ним разговаривать. Когда дело заведено - я уже не свидетель,- тоже говорить не о чем.

P.S. Есть средства защиты, которые не нужно покупать. И не факт, что в органах их смогут взломать. Если это не рекуррентное шифрование, то с большой долей вероятности не смогут.

Увы, вы оторваны от реальности. В институтах только теорию без практики парят и гранты получают. Вот поэтому у меня не осталось желания там работать.
А от том, как действуют по заказным проверкам пусть расскажут, те кто с ней сталкивался. А то опытных много здесь. Интересно услышать, как работает компания Лексфор?

Не дождавшись ответа автора на вопрос «Что же такое ТЗИ», решил сам ответить, потому, как считаю это очень важным:

«технічний захист інформації (ТЗІ) - діяльність, спрямована на
забезпечення інженерно-технічними заходами конфіденційності,
цілісності та доступності інформації;»

Откуда цитата? Нет, не из учебника (и даже не из стандарта), а из правового акта, который ничем не хуже цитируемых выше, ознакомится с ним можно здесь http://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=1229/99.
Не менее важно, прочтение этого документа теми, кто действительно испугался, читая данный пост. Я хотел бы, что бы они обратили свое внимание на пункт 1, данного положения (да пусть простят меня модераторы, приведу его полностью):

«1. Це Положення визначає правові та організаційні засади
технічного захисту важливої для держави, суспільства і особи
інформації, охорона якої забезпечується державою відповідно до
законодавства.

Технічний захист інформації здійснюється щодо органів
державної влади, органів місцевого самоврядування, органів
управління Збройних Сил України та інших військових формувань,
утворених згідно із законодавством України, відповідних
підприємств, установ, організацій (далі - органи, щодо яких
здійснюється ТЗІ).»

Я благодарен Автору поста, что он поднял данную тему, как говорили древние римляни: Ignorate legis est (lata) culpa (незнание закона есть (грубая) неосторожность), но давайте не пугать народ, а делится знаниями, ведь зная пять законов, мы можем не знать существование шестого, который может поломать все наши умозаключения…

Ведь правда, пункт Закону «Про ліцензування певних видів господарської діяльності»

" 16) розроблення, виробництво, впровадження, обслуговування,
дослідження ефективності систем і засобів технічного захисту
інформації, надання послуг в галузі технічного захисту інформації;"

Теперь воспринимается, немного иначе?

Поддерживаю,
см. мой пост чуть выше.

технічний захист інформації (ТЗІ)

- это всё брехня и завышенная самооценка. Все нормальные спецы или при банках или в МС. В сись интеграторах пару человек видел, и те ушли с Инкома (их место заняли непрофи, но с длинными языками и хорошей памятью на аббревиатуры).
Самые смешные "безопасники" - в гос.структурах. Студенты на 1500грн...

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT