ПО, ЭВМ и АСУ из Таможенного Союза

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.

Закон о связи

Страница: 1

Сообщений 1 страница 3 из 3

1

  • Автор: Лис [К]
  • Сочувствующий
  • Лис [К]
  • Зарегистрирован: 2019-05-16
  • Приглашений: 0
  • Сообщений: 1009
  • Уважение: [+1/-0]
  • Позитив: [+0/-0]
  • Провел на форуме:
    6 дней 3 часа
  • Последний визит:
    2021-02-04 17:36:28

«1. Деятельность юридических лиц и индивидуальных предпринимателей по возмездному оказанию услуг связи осуществляется только на основании лицензии на осуществление деятельности в области оказания услуг связи (далее - лицензия).»

«Перечень наименований услуг связи, вносимых в лицензии, и соответствующие перечни лицензионных условий устанавливаются Правительством Российской Федерации и ежегодно уточняются.»

2. Лицензирование деятельности в области оказания услуг связи осуществляется федеральным органом исполнительной власти в области связи (далее - лицензирующий орган), который:
...
9) ведет реестр лицензий и публикует информацию указанного реестра в соответствии с настоящим Федеральным законом.

Кодекс об административных правонарушениях
Статья 14.1. Осуществление предпринимательской деятельности без государственной регистрации или без специального разрешения (лицензии)
Ст. 171 Уголовного Кодекса РФ: Незаконное предпринимательство

Шифрование - дорога на нары:
https://habr.com/ru/post/3678/

Есть сертификация средств шифрования, а есть лицензирование, в том числе обязательное, деятельности в области защиты информации. К ней относятся деятельность по разработке, производству, распространению, техническому обслуживанию шифровальных средств, в том числе программных и программно-аппаратных комплексов.
установка, наладка и техническое обслуживание этих средств требует лицензии.
монтаж и установку СКЗИ может производить исключительно организация, осуществляющая работы по лицензируемым видам деятельности согласно Постановлению Правительства Российской Федерации    от 16 апреля 2012 г. № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

Cогласно "Положению о государственном лицензировании деятельности в области защиты информации" эксплуатация негосударственными предприятиями шифровальных средств, предназначенных для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, требует лицензии ФАПСИ.

"...2. При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации..."
Так что никаких эгриментов AS-IS, а полная и сугубая ответственность сайтовладетеля...

«при буквальном чтении нашего запутанного законодательства в этой области, все именно так и обстоит, что подверждается разъяснительными письмами руководства ФАПСИ, которые легко найти на специализированных сайтах. Незаконным является разработка и распространение всех средств шифрования без соответствующей лицензии, в том числе и DVD-плейеров, iPod`ов, спутниковых ресиверов, дистрибутивов Linux, Windows, Word, Excel, Access, серверов баз данных, архиваторов и многого другого.»

перечитайте действующий «Указ Президента РФ от 03.04.1995 № 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации"».
Вам особенно понравятся:
п.2 Все СКЗИ, включая электронную подпись, должны иметь соответствующий сертификат. Государственные заказы на предприятиях, нарушающих данный пункт, запрещены.
п.5 Таможне принять меры по недопущению «ввоза» иностранного СКЗИ без лицензии.
п.6 Контрразведке и МВД усилить контроль за юридическими и физическими лицами, нарушающими данный указ.
п.7 Прокуратуре усилить контроль.

Отредактировано Лис (2021-01-11 19:50:06)

0

2

  • Автор: Лис [К]
  • Сочувствующий
  • Лис [К]
  • Зарегистрирован: 2019-05-16
  • Приглашений: 0
  • Сообщений: 1009
  • Уважение: [+1/-0]
  • Позитив: [+0/-0]
  • Провел на форуме:
    6 дней 3 часа
  • Последний визит:
    2021-02-04 17:36:28

ФСБ разрешила не сертифицировать средства шифрования
если они не используются для передачи гостайны
https://www.kommersant.ru/doc/3043025

http://www.fsb.ru/fsb/science/single.htm!id=10437738@fsbResearchart.html

https://m.bis-expert.ru/blog/10408

ФЗ № 152 «О персональных данных».
ст.19 ч.2 п.3, в которой сказано:
«Обеспечение безопасности персональных данных достигается, в частности:
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;»

Аналогичное требование есть и в Постановлении правительства 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Приказе № 378 ФСБ России от 10.07.2014 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» сказано, что для выполнения указанного требования необходимо использовать СКЗИ класса КС1 и выше (п.9 ч. «в»). Таким образом, получается, что для исполнения требований ФЗ № 152 «О персональных данных» необходимо использовать сертифицированные СКЗИ.

https://bis-expert.ru/sites/default/files/users-blog/6245/images/3.JPG

При проверках ФСБ России отсутствие сертифицированных СКЗИ при защите ПДн уже фактически трактуется как нарушение.

Использование СКЗИ без сертификата ФСБ трактуется как ч.2 ст.13.12 КОАП РФ «Использование несертифицированных … средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)».

«В целях исключения утечки информации при ее перехвате за пределами контролируемой зоны … необходимо приостановить обработку персональных данных …до обновления до версии с действующим сертификатом ФСБ России».

https://fstec.ru/tekhnicheskaya-zashchi … 018-g-n-55
https://www.ec-rs.ru/blog/all/kak-prove … h-dannykh/

к типовым нарушениям относятся:
- Отсутствие актуального сертификата соответствия СКЗИ;
- Отсутствие журналов учета или нерегулярное их заполнение;
- Отсутствие дистрибутивов СКЗИ, формуляров, документов;
- Недостаточные меры по обеспечению физической защиты;
- Использование СКЗИ класса ниже необходимого.
- Некорректно разработанная модель угроз.

https://naviport.info/info/pub/259/
1. Защита персональных данных в мировой практике
В 1990 году была принята резолюция ООН о защите персональных данных. Есть конвенция Совета Европы 1981 года, ее подписало большинство европейских государств, для них этот документ обязателен и должен приниматься во внимание при разработке внутреннего законодательства. Существует также директива Европейского Сообщества 1995 года, которая касается защиты персональных данных. РФ приняла на себя обязательства по исполнению положений указанных документов.
2. Законодательство о персональных данных в РФ
В Российской Федерации с 1 июля 2011 года вступил в силу закон № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее — закон). Закон требует, в частности, обеспечить их конфиденциальность в соответствии с нормативными требованиями. В случае нарушения положений закона можно подвергнуться судебному преследованию со стороны граждан, чьи приватные записи были скомпрометированы, и со стороны компетентных органов, уполномоченных государством осуществлять контроль. К компетентным органам относятся Роскомнадзор, ФСБ России, ФСТЭК России. За неисполнение закона предусмотрена гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность.

https://naviport.info/info/pub/259/
Если персональные данные обрабатываются с использованием информационных систем состав выполняемых требований значительно расширяется.
Нужно определить уровень защищенности персональных данных (ПДн), составив соответствующий акт, опираясь на Таблицу 1.
Таблица 1. Пример определения уровня защищенности ПДн в ИСПДн. (Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»)
От уровня защищенности персональных данных в ИСПДн зависит объем мероприятий по их защите, выбор СКЗИ и сертифицированных средств защиты информации в соответствии с Таблицей 2, Таблицей 3 и Таблицей 4 соответственно.
Таблица 2. Определение минимального перечня мероприятий по ЗИ (Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»)
Таблица 3. Определение минимального класса СКЗИ. (Приказ ФСБ РФ от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».)
Таблица 4. Определение минимального класса защиты СЗИ. (Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».)

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может осуществляться только на территории Российской Федерации.
Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером.

Как показывает практика, в ходе проверки может быть запрошено гораздо большее количество документов по сравнению с тем, что требовалось изначально.

Типичными нарушениями, выявленными при проверке организаций, является следующее:
- отсутствие в организации распорядительных документов, регламентирующих порядок обработки персональных данных;
- обработка персональных данных осуществляется без соответствующего согласия субъекта персональных данных;
- предоставление организацией неполных или недостоверных сведений, содержащихся в уведомлении Роскомнадзора об обработке персональных данных;
- нарушение требований конфиденциальности, допущенное при обработке персональных данных;
- несоответствие содержания письменного согласия субъекта персональных данных перечню, установленному Федеральным законом «О персональных данных»;
- отсутствует соблюдение требований законодательства в области персональных данных при передаче персональных данных без соответствующего согласия субъекта персональных данных;
- отсутствие в агентских договорах условий обеспечения безопасности персональных данных при их обработке;
- отсутствуют перечень ИСПДн, модель угроз, проект по созданию защиты персональных данных, сертификаты на средства защиты информации;
- не проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (ИСПДн);
- отсутствует документ подтверждающий соответствие ИСПДн Оператора требованиям действующего законодательства по защите персональных данных (например, Аттестат или Заключение об оценке эффективности).

За нарушение требований законодательства в области защиты персональных данных предусмотрена административная и уголовная ответственность.

Нарушения, связанные с учетом и хранением СКЗИ и ключевой документации к ним:
- не ведется учет карт водителя, СКЗИ, ключевых документов, эксплуатационной и технической документации;
- хранилища и помещения с СКЗИ не оборудуются приспособлениями для опечатывания, либо личные печати отсутствуют;
- не пронумерованы и не учтены ключи от помещений с СКЗИ.

В январе 2017 года Госдума РФ во втором чтении одобрила законопроект об ужесточении административной ответственности за нарушения при хранении и обработке персональных данных.
максимальный штраф по-прежнему предусмотрен за нарушение требований к порядку использования СКЗИ, до 300 000 рублей.

Заказчики и клиенты стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Отредактировано Лис (2021-01-11 20:05:34)

0

3

  • Автор: Лис [К]
  • Сочувствующий
  • Лис [К]
  • Зарегистрирован: 2019-05-16
  • Приглашений: 0
  • Сообщений: 1009
  • Уважение: [+1/-0]
  • Позитив: [+0/-0]
  • Провел на форуме:
    6 дней 3 часа
  • Последний визит:
    2021-02-04 17:36:28

http://www.consultant.ru/document/cons_ … a3dfddc45/

«Разработка нового типа СКЗИ осуществляется в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденным приказом ФСБ России от 9 февраля 2005 г. N 66 (далее - Положение ПКЗ-2005);»

(Приказ №66 отдал Палпатин, чтобы убить всех джедаев)

http://www.consultant.ru/document/cons_doc_LAW_52098/

10. СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом Федеральным "законом" от 27 декабря 2002 года N 184-ФЗ "О техническом регулировании" <*>.

14. Разработка СКЗИ в интересах негосударственных организаций может осуществляться по заказу конкретного потребителя информации конфиденциального характера или по инициативе разработчика СКЗИ. При этом в качестве заказчика СКЗИ может выступать любое лицо.

18. ТТЗ (ТЗ) на проведение НИР (составной части НИР) по исследованию возможности создания нового образца СКЗИ заказчик СКЗИ направляет на рассмотрение в ФСБ России, которая в течение двух месяцев с момента получения документов обязана согласовать ТТЗ (ТЗ) на проведение НИР (составной части НИР) или дать мотивированный отказ.
Письменное согласование с ФСБ России ТТЗ (ТЗ) на проведение НИР (составной части НИР) является основанием для проведения НИР (составной части НИР).

23. В ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) должны указываться следующие дополнительные сведения:
по криптографической защите информации - цель криптографической защиты информации с описанием предполагаемой модели нарушителя, определяющей возможные угрозы, которым должно противостоять разрабатываемое (модернизируемое) СКЗИ;

25. ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) или СТЗ заказчик СКЗИ направляет на рассмотрение в ФСБ России, которая в течение двух месяцев с момента получения документов обязана согласовать ТТЗ (ТЗ) или дать мотивированный отказ с указанием конкретного образца СКЗИ, рекомендуемого заказчику СКЗИ к использованию или модернизации.
Письменное согласование с ФСБ России ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) является основанием для проведения ОКР (составной части ОКР).

27. При разработке СКЗИ рекомендуется использовать криптографические алгоритмы, утвержденные в качестве национальных стандартов или определенные перечнями, утверждаемыми в порядке, установленном "Постановлением" Правительства Российской Федерации от 23 сентября 2002 года N 691 <*>.

36. Результаты тематических исследований и оценки влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований, а также опытные образцы СКЗИ и аппаратные, программно-аппаратные и программные средства, необходимые для штатного функционирования СКЗИ, передаются в ФСБ России для проведения экспертизы.
Аппаратные, программно-аппаратные и программные средства, необходимые для штатного функционирования СКЗИ, и опытные образцы СКЗИ для проведения тематических исследований и экспертизы передаются специализированной организации и ФСБ России на время выполнения указанных исследований.
Дальнейшее использование указанных опытных образцов СКЗИ и аппаратных, программно-аппаратных и программных средств определяется заказчиком СКЗИ.

http://ruvertu.ru/images/stories/exo/%202.jpg

Вобщем, непросто будет сделать мне видеочатик с БудДеном, ведь изображение моего хвоста это личная, можно сказать интимная, информация. А хранение персональных данных потребует сертифицированного СКЗИ.

Отредактировано Лис (2021-01-11 21:12:05)

0

Страница: 1