Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Инструкция, утвержденная Приказом ФАПСИ 152
Статус: Участник
Группы: Участники
Зарегистрирован: 22.06.2010(UTC)
Сообщений: 22
Откуда: Moscow
|
Добрый день!
При чтении указанного документа "споткнулся" на первом же пункте :(
"... Данным порядком рекомендуется руководствоваться также при организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты <*> не подлежащей обязательной защите конфиденциальной информации, доступ к которой ограничивается в соответствии с законодательством Российской Федерации или по решению обладателя конфиденциальной информации <**> (за исключением информации, содержащей сведения, к которым в соответствии с законодательством Российской Федерации не может быть ограничен доступ)..."
Прошу пояснить, что понимается под конфиденциальной информацией, не подлежащей обязательной защите, но доступ к которой ограничен? Где дана трактовка такого термина?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Считайте, что это опечатка.
Правильная суть (дух, закладываемый создателями документа) этой фразы и правильное написание её таково:
"... Данным порядком рекомендуется руководствоваться также при организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты <*> не подлежащей обязательной защите конфиденциальной информации, доступ к которой ограничивается по решению обладателя конфиденциальной информации <**> (за исключением информации, содержащей сведения, к которым в соответствии с законодательством Российской Федерации не может быть ограничен доступ)..." |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.06.2010(UTC)
Сообщений: 22
Откуда: Moscow
|
Юрий Маслов написал:Считайте, что это опечатка.
Правильная суть (дух, закладываемый создателями документа) этой фразы и правильное написание её таково:
"... Данным порядком рекомендуется ..." Юрий, спасибо за Ваш ответ! Теперь интересно понять п.4 этого документа: "4. Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ, лицензиаты ФАПСИ организуют и обеспечивают либо по указанию вышестоящей организации, либо на основании договоров на оказание услуг по криптографической защите конфиденциальной информации." Идея понятна - Лицензиат должен иметь основание на проведение мероприятий по защите информации, а Обладатель, в свою очередь, должен иметь основание доверять защиту своей конфид. информации Лицензиату. Правильно ли я понимаю, что а) "Указание" будет возможно только в следующих случаях: 1) И "Лицензиат" и "Обладатель" будучи разными юридическими лицами (ООО, ОАО, ЗАО, ...) входят в одну Группу компаний, Холдинг и т.п. Тогда указание от Совета Директоров/ Президента Группы компаний и т.п., направленное Лицензиату, обеспечить безопасность конфид.информации Обладателя будет иметь юр.силу. 2) Лицензиат и Обладатель разные юр.лица, не входят ни в какие "союзы" (например, региональные филиалы Компании), но на уровне руководства (Головной Компании) заключен соответствующий Договор на оказание Услуг, в частности по криптозащите информации. 3) Вышестоящая организация является Регулятором (ФСБ). б) Во всех других случаях, мы, как Лицензиаты ФАПСИ (ФСБ), должны с каждым Обладателем заключать Договор?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Уважаемый stranger!
Данная Инструкция достаточно старая и составлялась людьми, которые по объективным причинам не понимали, что заключение любых договоров основывается на принципах добровольности, осознанности и целесообразности, заложенных в действующем законодательстве РФ. При этом, если Обладатель и Лицензиат разные юридические лица (не важно, являются ли они зависимыми обществами или нет), то договор должен быть обязательно возмездным.
Поэтому Обладатель должен сначала добровольно захотеть доверить защиту конфиденциальной информации Лицензиату, осознать необходимость такого доверия, оценить экономическую целесообразность защиты конфиденциальной информации вообще, и Лицензиатом в частности.
Поэтому:
- если Обладатель и Лицензиат одно юридическое лицо (например, обособленные подразделения) то указание в форме локального нормативного акта (приказа) будет иметь юридическую силу.
- если Обладатель и Лицензиат разные юридические лица, являющиеся зависимыми обществами (входят в Группу компаний, Холдинг и т.д.), то указание от Совета Директоров/ Президента Группы компаний и т.п., направленное Лицензиату, обеспечить безопасность конфид.информации Обладателя НЕ будет иметь юридическую силу. Между Обладателем и Лицензиатом должен быть заключен возмездный договор на оказание услуг по криптографической защите конфиденциальной информации (это согласно Гражданского кодекса РФ). Согласно Налогового кодекса РФ по такому договору будет особый режим исчисления налога на прибыль при некоторых условиях, определённых в НК РФ.
- если Обладатель и Лицензиат разные юридические лица, (не важно, являются ли они зависимыми обществами или нет), то между Обладателем и Лицензиатом должен быть заключен возмездный договор на оказание услуг по криптографической защите конфиденциальной информации.
- если Обладатель и Лицензиат разные юридические лица, но являются структурными подразделениями одного органа власти (например, Центральный аппарат ФНС России и УФНС), то указание в форме приказа руководителя органа власти, направленное Лицензиату (например, ЦА ФНС), обеспечить безопасность конфид.информации Обладателей (например, УФНС) будет иметь юридическую силу. И договоры не заключаются.
- для Лицензиатов ФСБ не является вышестоящей организацией. ФСБ является регулятором, уполномоченным федеральным органом исполнительной власти в области безопасности.
|
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.06.2010(UTC)
Сообщений: 22
Откуда: Moscow
|
Юрий Маслов написал:Уважаемый stranger!
Данная Инструкция достаточно старая и составлялась людьми, которые по объективным причинам не понимали, что заключение любых договоров основывается на принципах добровольности, осознанности и целесообразности, заложенных в действующем законодательстве РФ. При этом, если Обладатель и Лицензиат разные юридические лица (не важно,
Юрий, спасибо за Ваш ответ!
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
У меня логика прочтения слегка другая. Цитата:1. Настоящая Инструкция определяет единый на территории Российской Федерации
порядок
организации и обеспечения безопасности хранения, обработки и передачи по каналам связи
с использованием сертифицированных ФАПСИ средств криптографической защиты (шифровальных средств)
подлежащей в соответствии с законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну*(1). Итак, п.1.: Если информацию обязательно защищать и используются СКЗИ => обязательно следовать данной инструкции. Цитата:Данным порядком рекомендуется руководствоваться также при
организации и обеспечении безопасности хранения, обработки и передачи по каналам связи
с использованием сертифицированных ФАПСИ средств криптографической защиты*(2)
не подлежащей обязательной защите конфиденциальной информации,
доступ к которой ограничивается в соответствии с законодательством Российской Федерации или по решению обладателя конфиденциальной информации*(3)
(за исключением информации, содержащей сведения, к которым в соответствии с законодательством Российской Федерации не может быть ограничен доступ). Если информация не подлежит обязательной защите (доступ ограничен законодательством или по решению обладателя) и используются СКЗИ => инструкция носит рекомендательный характер. Теперь, к вопросу о том, что это за случай: доступ ограничен законодательством или по решению обладателя, но обязательной защите не подлежит. N 149-ФЗ, статья 9, п.2: Цитата:2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. Есть ФЗ => обязательно защищать, и только тогда. Когда нет ФЗ, но каким то иным законодательным актом доступ к информации ограничивается и используются СКЗИ, инструкция носит рекомендательный характер. Н-р, по решению обладателя: N 149-ФЗ, статья 6, п.3: Цитата:3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Уважаемый Rams!
Когда рекомендуется и когда обязательно следовать Инструкции - с этим всё понятно и очевидно.
Вопрос был в другом: что это за информация такая, что она одновременно и "не подлежит обязательной защите конфиденциальной информации" и "доступ к которой ограничивается в соответствии с законодательством Российской Федерации". Чувствуете изюминку фразы? :-)))
Я для себя не смог придумать такой информации, ибо если доступ к информации ограничен законами, то она подлежит обязательной защите.
А Ваши рассуждения по N 149-ФЗ, статья 6, п.3 несколько... неправильные. Ибо если обладатель информации ограничивает доступ к информации, то он действует по закону и, следовательно, доступ информации ограничен по ФЗ!!! |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Юрий Маслов написал:
Я для себя не смог придумать такой информации, ибо если доступ к информации ограничен законами, то она подлежит обязательной защите.
А Ваши рассуждения по N 149-ФЗ, статья 6, п.3 несколько... неправильные. Ибо если обладатель информации ограничивает доступ к информации, то он действует по закону и, следовательно, доступ информации ограничен по ФЗ!!!
Обладатель информации действует по закону, и доступ к информации ограничен в соответствии с ФЗ - согласен. Но сам ФЗ не предписывает защищать эту информацию, на мой взгляд огромная разница! ФЗ говорит лишь о том, что возможно ее защищать, а можно и не защищать. Пример: рекомендательный характер: коммерческая тайна, обязательный характер: персданные. Отредактировано пользователем 5 апреля 2012 г. 11:52:04(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Чисто пофилософствовать...
Есть ФЗ называемый Уголовный кодекс РФ. Согласно ст.182 наказывается деяние "Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе".
Эта статья обязывает защищать коомерческую тайну или нет? С одной стороны - не обязывает, т.к. наказание идёт только за разглашение коммерческой тайны. Т.е. когда она стала известна посторонним лицам. А с другой стороны, говорит, что защищай коммерческую тайну, иначе если она станет известна посторонним лицам и владелец этой тайны подаст заявление - привлечём к уголовной ответственности.
Попадает ли УК РФ в те ФЗ, которые относятся к статье 9, п.2 149-ФЗ: "2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами."?
Если попадает, то утверждение, что "рекомендательный характер: коммерческая тайна" - неверное.
|
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Согласен, с коммерческой тайной не все просто.
В частности, если не предприняты шаги по защите КТ и правильно не оформлены соответствующие документы на предприятии, то при разглашении КТ ответственности не наступает.
Емельянников приводил случай, когда контора внесла в список сведений, составляющих КТ, не разрешенные к таковым позиции. И на основании этого юрист в суде доказал ничтожность режима КТ на предприятии и как следствие, отсутствие ответственности за разглашение таковой.
Вопрос философский, но мне кажется, 152 для КТ - рекомендация =)
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Инструкция, утвержденная Приказом ФАПСИ 152
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
