Федеральный закон Российской Федерации от 27 июля 2006 г. N 152 "О персональных данных".

[E.K.]

Этта... (это по-японски, не обращайте внимания).

 

Давайте попросим (если это действительно надо) ответа от нашего Российского офиса.

 

Ну, честное слово, ну этот форум - он называется "спросите меня".

Ну откуда я знаю - какие там именно сертификаты, лицензии, рабочие визы и прочее нужны в каждой отдельной стране! А?

Неделю назад я был в Израиле.

Две недели назад - Мексика.

Три/четыре недели - Малайзия, Сингапур, Индонезия.

Пять - Швейцария,

четыре (?) - Китай.

Шесть (?) - Италия, Германия, Армения, Румыния (порядок спутанный).

 

Вы про какие сертификации спрашиваете и где?

[Вячеслaв]

Здравствуйте, Евгений Валентинович.

 

Ввиду скорого вступления в силу закона N 152 "О персональных данных" остро встал вопрос о прохождении лицензирования организаций.

 

Среди лицензий была обнаружена только лицензия на Антивирус Касперского 6.0 для Windows Workstations, соответствующая 3 уровню контроля и требования технических условий. Лицензии от ФСБ, с правом охранять гос.тайну это, по моему мнению, безусловно серьёзнее, чем требования ИСПДн, но..

 

И ещё один момент: На совещаниях, рекомендуют сверяться с этим списком. Как оказалось он вводит в заблуждение.

Дело в том, что в этом списке обозначены не конкурентные решения ЛК(Антивирус Касперского для «Дионис» 2.0 (Win 9x/NT/2000/ME)Сертификаты: ФСТЭК (ИСПДн К1) против Eset NOD32 Business Edition Сертификаты: ФСТЭК (ИСПДн К2)) и это вынуждает подписаться под NOD32, так как он там единственно возможный AV, для решения поставленных задач.Не очень конкурентный выбор..

Ситуация складывается не в пользу продуктов ЛК, так как довольно скоро заканчивается лицензия на продукты ЛК у нашей организации, и сейчас решается вопрос о приобретении новой антивирусной защиты.

 

Мне, как человеку, ответственному за бесперебойное функционирование и безопасность важны ответы на следующие вопросы:

1. "Где можно посмотреть на лицензии ЛК на соответствие требованиям ФСТЭК?"
   
2. "Когда можно будет посмотреть на лицензии?"
   
3. "Какие продукты ЛК будут проходить лицензирование?"
   
4. "Какие уровни защиты ожидаются и для каких продуктов?"
   
5. "Возможно-ли "поярче" выделить необходимые лицензии что бы иметь возможность быстро и чётко давать подтверждение ответам?"
   
6. "Где можно получать информацию о текущем состоянии дел?"
   

Надеюсь на скорое и успешное, для ЛК, разрешение вопроса.

С уважением Вячеслав.

[Lacoste]

К слову о ЕСЕТ:

В связи с недавними заявлениями ЗАО "Исет" о получении сертификата ФСТЭК, который, якобы, делает продукт этого антивирусного производителя "уникальным решением" на российском рынке, "Лаборатория Касперского" считает необходимым публично ответить на многочисленные запросы пользователей и разъяснить вопрос соответствия своих антивирусных программных продуктов требованиям закона ФЗ №152 "О персональных данных".

 

"Лаборатория Касперского" давно говорит о принципиальной необходимости сертифицировать предоставляемые антивирусными компаниями услуги, в соответствии с законодательными нормами РФ. Поэтому отрадно, что наши коллеги по цеху из компании "Исет" также осознали необходимость соответствовать законодательству РФ и прошли сертификацию Федеральной службы по техническому и экспортному контролю (ФСТЭК)", – говорит Сергей Земков, управляющий директор "Лаборатории Касперского" в России и странах Закавказья. – Однако нас удивила информация о том, что продукт данной компании теперь является "уникальным решением на российском рынке". Заявления такого рода свидетельствуют либо о незнании представителями "Исет" законов РФ, либо о желании дезинформировать пользователей".

 

Процедура, которую недавно прошла компания "Исет", осуществлена в соответствии с руководящими документами ФСТЭК России на предмет отсутствия в данном ПО недекларированных возможностей (НДВ). Эту процедуру должны проходить все продукты, предназначенные для защиты информации ограниченного доступа (к ней относится конфиденциальная информации, а также информация, составляющая государственную тайну).

 

В процессе оценки соответствия установленным требованиям эксперты ФСТЭК осуществляют проверку программного продукта по определенному уровню контроля безопасности, подтверждающему, что данный продукт не содержит недекларированных возможностей и пригоден для защиты конфиденциальной информации (4-й уровень контроля) и информации, составляющей государственную тайну (от 3-го до 1-го уровня контроля, в зависимости от степени секретности). Продукты ЗАО "Лаборатория Касперского" еще в 2007 году успешно прошли процедуру соответствия по третьему уровню контроля, получив соответствующие сертификаты 11 мая 2007 года.

 

С принятием закона ФЗ №152 "О персональных данных" процедура оценки соответствия не изменилась, не появилось никаких новых требований к программным продуктам. Согласно постановлению Правительства РФ №781 от 17.11.2007, производители систем защиты информации обязаны пройти процедуру соответствия ранее установленным требованиям, которые были прописаны руководящим документом ФСТЭК. А в нем идет речь все о той же сертификации по НДВ, которую продукты "Лаборатории Касперского" уже прошли. Соответственно, информация о том, что продукты "Исет", получившие лишь четвертый уровень контроля безопасности, имеют уникальное право на защиту персональных данных, не соответствует действительности.

 

Вместе с тем немаловажно уточнить, что, согласно новому приказу Министерства связи и массовых коммуникаций РФ № 104 от 25 августа 2009 года (зарегистрировано в Минюсте РФ 25 сентября 2009 года), полученный ЗАО "Исет" сертификат не дает права использовать антивирусные средства данной компании для защиты информации в органах государственной власти. Для этого необходимо пройти сертификацию Федеральной службы безопасности России, сертификаты которой "Лаборатория Касперского" получила 13 июня 2007 года. Кроме этого, наличие сертификатов ФСБ России дает право использовать продукты ЛК для защиты информации, составляющей государственную тайну.

 

В дальнейшем, для разрешения возможных сомнений по поводу соответствия того или иного программного продукта положениям закона ФЗ №152, "Лаборатория Касперского" предлагает обратиться за комментариями в соответствующий орган по сертификации – в частности, в Федеральную службу по техническому и экспортному контролю.

 

***

Информационная служба "Лаборатории Касперкого"

Изменено 26 октября, 2009 пользователем Danilka

[hinote]

да и зачем говорить про продукты конкурентов, давайте посмотрим на наши сертификаты:

 

http://www.kaspersky.ru/why_certificates?seltype=147610293

 

там вроде бы имеются ответы на все ваши вопросы (кроме, пожалуй, вопроса 5, который является риторическим)...

Изменено 2 ноября, 2009 пользователем hinote

[пользователь]

зачем говорить про продукты конкурентов

Согласен, мне тоже исет не интересен. Давайте поговорим про KAV WKS и другие антивирусы ЛК.

 

давайте посмотрим на наши сертификаты:

 

http://www.kaspersky.ru/why_certificates?seltype=147610293

Посмотрел еще раз. Возникло два вопроса:

1. Среди этих сертификатов я не нашел ни одного, где четко и недвусмысленно было написано, что "может использоваться при создании информационных систем персональных данных до 1 класса включительно".
   
2. Почему в этом списке не перечислены антивирусы касперского?
   

PS. Кстати, на восьмой админкит сертификат вообще отсутствует... Он есть, а сертификата - нет.

[hinote]

[*] Среди этих сертификатов я не нашел ни одного, где четко и недвусмысленно было написано, что "может использоваться при создании информационных систем персональных данных до 1 класса включительно".

 

в сертификате пишется уровень контроля НДВ, а не класс ИСПДн, это разные вещи.

 

сертификат декларирует отсутствие НДВ, а применимость ПО с разным уровнем контроля НДВ для использования в ИСПДн разных классов регламентируется или рекомендуется другими нормативными документами, положениями и приказами - не сертификатом.

 

сам ФЗ РФ N152-ФЗ вообще не упоминает никаких антивирусов, это требования и\или рекомендации положений ФСТЭК и ФСБ соответственно.

 

 

[*] Почему в этом списке не перечислены антивирусы касперского?

 

вопрос к владельцам этого ресурса, не так ли?

 

Кстати, на восьмой админкит сертификат вообще отсутствует... Он есть, а сертификата - нет.

 

получение сертификата - довольно длительный процесс, занимает некоторое время.

сертификат не может быть получен до выпуска продукта или одновременно.

Изменено 2 ноября, 2009 пользователем hinote

[пользователь]

в сертификате пишется уровень контроля НДВ, а не класс ИСПДн, это разные вещи.

Нет, это не так. В сертификате исета написано:

...соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) - по 4 уровню контроля и требованиям технических условий и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и информационных систем персональных данных до 1 класса включительно при выполнении указаний по эксплуатации, приведенных в формуляре...

Если не верите, взгляните сами:sertifikat.pdf

 

сертификат декларирует отсутствие НДВ, а применимость ПО с разным уровнем контроля НДВ для использования в ИСПДн разных классов регламентируется или рекомендуется другими нормативными документами, положениями и приказами - не сертификатом.

Допускаю, что вы правы, но в реальности, отсутствие такой приписки в сертификате, или отсутствие ваших антивирусов на этой странице означает, что многие их не купят, так как проще купить исет. Лишние проблемы никому не нужны.

 

сам ФЗ РФ N152-ФЗ вообще не упоминает никаких антивирусов, это требования и\или рекомендации положений ФСТЭК и ФСБ соответственно.

Не могу не согласиться, но эти рекомендации проще выполнить, чем что-либо доказывать.

 

вопрос к владельцам этого ресурса, не так ли?

Да, действительно этот ресурс принадлежит "НПО Эшелон". То есть - ресурс частный, но пользоваться им приходится, как официальным за отсутствием таковых.

[hinote]

еще раз,

отдельной сертификации на применимость для создания СПДн нет, есть сертификация на уровень НДВ,

здесь одно - просто следствие другого, причем это следствие декларируется другими нормативными документами, отличными от сертификата.

 

в наших сертификатах, полученных в 2007 году естественно не указано то, чего не существовало на тот момент.

в современных сертификатах такая приписка делается, но ее наличие или отсутствие ничего не меняет, т.к., повторюсь, это лишь автоматически получаемое следствие из факта наличия сертификата по НДВ, следствие, получаемое из других нормативных документов, которые появились после получения сертификатов нашими продуктами.

 

поэтому из-за приписки, которая ничего не меняет, естественно не будут производить пересертификацию.

отсутствие такой приписки не приводит к невозможности использования для создания ИСПДн определенных классов.

 

 

пользоваться им приходится, как официальным за отсутствием таковых.

 

ну почему же, есть официальный реестр ФСТЭК.

 

Не могу не согласиться, но эти рекомендации проще выполнить, чем что-либо доказывать.

 

Более того, их нужно выполнять.

Так и выполняйте - используйте наши сертифицированные продукты.

 

Требования же эти состоят не в том, чтобы устанавливать АПО, для которого указано в сертификате "можно использовать", а в том, чтобы использовать АПО с требуемым уровнем контроля НДВ.

Изменено 3 ноября, 2009 пользователем hinote

[пользователь]

еще раз,

отдельной сертификации на применимость для создания СПДн нет, есть сертификация на уровень НДВ,

здесь одно - просто следствие другого, причем это следствие декларируется другими нормативными документами, отличными от сертификата.

 

в наших сертификатах, полученных в 2007 году естественно не указано то, чего не существовало на тот момент.

в современных сертификатах такая приписка делается, но ее наличие или отсутствие ничего не меняет, т.к., повторюсь, это лишь автоматически получаемое следствие из факта наличия сертификата по НДВ, следствие, получаемое из других нормативных документов, которые появились после получения сертификатов нашими продуктами.

 

поэтому из-за приписки, которая ничего не меняет, естественно не будут производить пересертификацию.

отсутствие такой приписки не приводит к невозможности использования для создания ИСПДн определенных классов.

Ага. Все это очень здорово, но ничего не меняет. Либо нужен официальный документ в который можно ткнуть носом проверяющих, либо... Либо ЛК потеряет некотурую часть клиентов. Кто-то перейдет на нод просто чтобы избежать лишней головной боли, либо будет вынужден перейти, потому что его начальство не желает разбираться в этих хитросплетениях и им проще сделать так, как настойчиво рекомендуют (и их тоже можно понять).

 

ну почему же, есть официальный реестр ФСТЭК.

В этом реестре написано буквально следующее:

Пакет программ Eset NOD32 Platinum Pack 4.0 – на соответствие ТУ (может использоваться в 1Г и может использоваться для защиты информации в ИСПДн до 1 класса включительно)

Про антивирусы касперского такого не написано.

 

PS. Сделайте новость на сайте. Со ссылками на законы и подзаконные акты. Чтобы клиенты не изобретали свои оправдания, а пользовались готовыми.

Изменено 3 ноября, 2009 пользователем пользователь

[hinote]

PS. Сделайте новость на сайте. Со ссылками на законы и подзаконные акты. Чтобы клиенты не изобретали свои оправдания, а пользовались готовыми.

 

http://www.kaspersky.ru/news?id=207733098

[Apollon]

Сообщение от модератора User

Тема закрыта, пока небудет ответа из ФСТЭКА

 

Сообщение от модератора Elly

Тема открыта

[Lacoste]

[Apollon]

Danilka спасибо за информацию из ФСТЭКА.

[gudilin]

Ну ты же знаешь, все думают, что ты знаешь ответы на все вопросы

Всё, ответ дал выше ФСТЭК http://forum.kasperskyclub.ru/index.php?ac...st&id=19035, тема закрывается.

[hinote]

Вот и в перечне средств защиты на сайте Эшелона (см. http://ispdn.ru/szi/ ) откорректирована информация:

теперь для KAV WKS 6, KAV WS 6, AdminKit 6 правильно указано "Область доверия: ФСТЭК (ИСПДн К1)"...

 

(но все равно почему то не указаны имеющиеся сертификаты ФСБ...)