среда, 14 ноября 2018 г.

ФСТЭКvsБлогеры

    В пятницу  состоялось мероприятие с официальным названием "Совещание у заместителя директора ФСТЭК России В.С. Лютикова с блогерами по вопросам обеспечения безопасности КИИ РФ", огромный вклад в организацию встречи внес  А. Лукацкий. Часть блогеров-участников совещания уже отразили свой взгляд на достигнутые результаты:  Комаров АлексейПавел ЛуцикАлександр Кузнецов.
     ФСТЭК ведет очень активную и последовательную разъяснительную работу по выполнению 187-ФЗ. Выступления на конференциях, семинарах, сформирован отдельный раздел на официальном сайте, организована возможность прямого общения по телефону и электронной почте с сотрудниками отдела КИИ. Прямая встреча с блогерами руководителя такого ранга - это существенный шаг навстречу субъектам КИИ. На этом фоне ФСБ выглядит очень бледно. 
     Прошедшая встреча был установочной, нацеленной не на разъяснение конкретных ситуаций и проблем у субъектов КИИ, а на разъяснение позиции ФСТЭК по сложившейся ситуации в стране с выполнением 187-ФЗ и подзаконных актов. 
     Отмечу следующие моменты:
1. Позиция ФСТЭК не поменялась с момента вступления в силу 187-ФЗ  Все, что озвучивалось на конференциях и семинарах, остается в силе. 
2. Познакомился с сотрудниками отдела КИИ, до этого только с начальником отдела Кубаревым А.В. общался на профильных конференциях.
3. Анонсировано внесение изменений в ПП127, 236 и 239 Приказы ФСТЭК, в КоАП. На совещании были озвучены только основные идеи, которые ФСТЭК вкладывает в изменения, без формулировок и конкретики.
     У субъектов КИИ будет возможность повлиять на формулировки этих документов на этапе "публичного обсуждения", я в своем блоге постоянно призываю активно использовать такую возможность. 
     На фото блогеры-участники совещания

    
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

воскресенье, 11 ноября 2018 г.

СОК и лицензия ФСБ на СКЗИ


   Уже традиционное продолжение обмена мнениями на страницах блога с А. Лукацким. На этот раз поводом послужила его заметка "КОММЕРЧЕСКИМ SOCАМ НУЖНА ЕЩЕ И ЛИЦЕНЗИЯ ФСБ НА ШИФРОВАНИЕ" https://lukatsky.blogspot.com/2018/11/soc_7.html
    Требование о защите каналов традиционно для ФСТЭК и вполне логично, то есть, - применение СКЗИ является обязательным для лицензиата ФСТЭК по ТЗКИ (работы по мониторингу ИБ). Самым актуальным вопросом остается обязательность получения лицензии ФСБ на СКЗИ.
1. А. Лукацкий пошел по пути аналогии с банками (услуги ДБО). Мне больше импонирует аналогия с транспортными компаниями:компания оказывает услуги по транспортировке (перевозке) грузов, но ее грузовые автомобили оборудованы тахографами, а тахографы защищаются СКЗИ. Тот же СОК оказывает услуги по мониторингу, а каналы передачи данных защищаются СКЗИ. Требуется ли получать лицензию ФСБ на СКЗИ грузоперевозчикам?Ответ - нет.
     То есть, сам факт обязательного использования СКЗИ для оказания иных услуг не служит основанием для получения лицензии ФСБ. Судебной практики по тахографам очень много (ст.13.13 КоАП). Но прецедентов привлечения транспортных компаний я не выявил. Обычно идет обвинение в "производил установку, монтаж, активацию, прода¬жу тахографов с блоками криптографической защиты информации (СКЗИ) без специаль¬ного разрешения (лицензии) на данный вид деятельности, выдаваемой Управлением ФСБ России по .." к сервисным компаниям, но не к владельцам грузовиков.
     Но есть и другая аналогия: компании, предоставляющие удаленные услуги бухгалтерии. А с ними у ФСБ почему то другое отношение. Хотя суть вся та же самая, СКЗИ используется из-за обязательного требования ФНС при предоставлении отчетности, но услугу по "шифрованию" бухгалтерская фирма никому не оказывает при этом. Суды поддерживают ФСБ в этой точке зрения.
"Постановлением зам.начальника отдела Управления ФСБ РФ по Белгородской области от 14.06.2011 года установлено, что Жданова В.С., будучи должностным лицом - директором ООО «…», с октября 2009 года, в нарушение п.7 ч.1 ст.17 ФЗ от 08.08.2001года №128-ФЗ «О лицензировании отдельных видов деятельности», п.п.в п.2 "Положения о лицензировании предоставления услуг в области шифрования информации" утвержденного Постановлением Правительства РФ от 29.12.2007 N 957, осуществляет предпринимательскую деятельность по передаче персональных данных (бухгалтерской отчетности) юридическим и физическим лицам по телекоммуникационным каналам связи с использованием электронной цифровой подписи и средств криптографической защиты информации, т.е. занимается деятельностью по предоставлению услуг в области шифрования информации без лицензии.
......
при выполнении обязательств по договору на оказание услуг налогового представителя, применяя при этом средства электронной цифровой подписи (ЭЦП) и средства шифрования для отправки налоговых деклараций и бухгалтерской отчетности по телекоммуникационным каналам связи, действовала от имени, в интересах и в пользу налогоплательщика."
или
"Согласно исследованных договоров заключенных ООО <данные изъяты> с юридическими лицами по спискам юридических и физических лиц, представивших налоговую и бухгалтерскую отчетность через ООО <данные изъяты> в период с 13 января по 08 февраля 2016 года, следует, что ООО <данные изъяты> оказывает платную услугу, по ведению бухгалтерского и налогового учета, составлению отчетности в объеме, установленном действующим законодательством РФ. 
Во исполнения принятых на себя обязательств, в соответствии с условиями названого договора № от 10 октября 2012 года ООО <данные изъяты>, с помощью криптографических средств защиты информации «КриптоПроCSP» передавал отчеты доверителей с 13 января по 08 февраля 2016 года в налоговый орган.
В связи с этим и на основании вышеизложенного нельзя принять письмо ООО «Компания <данные изъяты> № от 30 марта 2016 года, о том, что уполномоченная организации, в данном случае, ООО <данные изъяты> не оказывает услуг шифрования информации.
Таким образом, ООО <данные изъяты>» по существу оказывает возмездные услуги по организации и обеспечению безопасности хранения и обработки с использованием СКЗИ конфиденциальной информации, передаваемой вне сетей конфиденциальной связи, т.е. предоставляя услуги по шифрованию информации фактически осуществляет функции оператора."

2. Касательно попытки использовать исключение по признаку "технологическая информация":
"Кроме этого, как следует из представленной Управлением выписки из шифртелеграммы от 02.04.2013 № 262912, подписанной заместителем начальника ЦЛСЗ ФСБ России, под технологическим каналом информационно-телекоммуникационной системы и сети связи следует понимать защищенный с использованием шифровальных (криптографических) средств канал связи, по которому осуществляется только передача данных для управления (конфигурирования) информационно-телекоммуникационной системой и/или сетью связи."
     Так что не вариант для СОК.
     Общий итог: вариант работы СОК без лицензии ФСБ существует - разворачивание на объектах заказчика мониторинга своих собственных технических средств, которых специалисты заказчика не будут касаться вообще (использование СКЗИ для собственных нужд). Моя рекомендация - получайте лицензию ФСБ.
     Касательно ответственности за деятельность без соответствующей лицензии. Самое опасное-предусмотрена возможность конфискации системы мониторинга, причем по КоАП, но есть и уголовная ответственность. Подробно разбирал риски для СОК за работу без лицензии в заметке https://valerykomarov.blogspot.com/2018/04/blog-post.html и в статье "Уголовно-правовые риски предоставления услуг по информационной безопасности" http://www.itsec.ru/imag/insec-1-2018/21

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

вторник, 6 ноября 2018 г.

В тюрьму за чашку кофе? Для пользователя КИИ легко


        При обсуждении уголовной ответственности по Ст. 274.1 УК РФ стандартно упоминается риск привлечения должностных лиц, ответственных за эксплуатацию объектов КИИ (администраторы, ИТ-специалисты и подобные). Я так же разбирал подобные риски для этой группы риска. Но, если присмотреться внимательно к тексту п.3 Ст.274.1 УК РФ, то можно выделить еще одну группу риска - пользователи определенных информационных систем (ГИС и ИСПДн), отнесенных к объектам КИИ.