Size: a a a

Чат ruCyberSecurity

2019 June 01

PK

Pavel Korostelev in Чат ruCyberSecurity
Saches
На какой-то, сравнительно недавней конференции, представители ФСТЭК, ФСБ и, вроде бы, РКН заявляли, что сейчас модель угроз никто не требует, достаточно перечня угроз. Точнее, это можно посмотреть в блогах Емельянникова и еще у кого-то было.
Погодите, если вы защищаете ГИС, то МУ и ТЗ на систему надо со ФСТЭК согласовать же
источник

S

Saches in Чат ruCyberSecurity
Pavel Korostelev
Погодите, если вы защищаете ГИС, то МУ и ТЗ на систему надо со ФСТЭК согласовать же
Возможно, если вы оператор этой ГИС. Не заморачивался на эту тему, т.к. ни разу не трудился в подобной гос компании.
источник
2019 June 02

M

Magic in Чат ruCyberSecurity
Добрый день, вопрос не по кии. Суть: организация учредитель (гос) закупает от своего имени сзи и скзи для подведомственной организации (гос), в адресе поставки на закупках стоит адрес подведомственной организации, но вся платежная документация у учредителя. Имеет ли право подведомстенная организация использовать эти сзи?
источник

С

СаняШ in Чат ruCyberSecurity
Вообще это не вопрос использования сзи и скзи. Это вопрос бухгалтерии. Если вопрос в передаче скзи, то по 152. Имеет право использовать тот кому его передали.
источник

С

СаняШ in Чат ruCyberSecurity
По сзи вообще вопросов нет. Ваши внутренние заморочки. Регулятор проверяет наличие сертификатов а не кто за них заплатил
источник

M

Magic in Чат ruCyberSecurity
а если не было акта передачи, то все-равно учитывать от какого поставщика переданы но без сопроводительных документов (они у учредителя), в тот же журнал учета
источник

M

Magic in Чат ruCyberSecurity
?
источник

PK

Pavel Korostelev in Чат ruCyberSecurity
Magic
Добрый день, вопрос не по кии. Суть: организация учредитель (гос) закупает от своего имени сзи и скзи для подведомственной организации (гос), в адресе поставки на закупках стоит адрес подведомственной организации, но вся платежная документация у учредителя. Имеет ли право подведомстенная организация использовать эти сзи?
Самая сложная часть СКЗИ. У закупщика есть лицензия ФСБ на распространение СКЗИ? Если нет, то будут пробьемы.
источник

M

Magic in Чат ruCyberSecurity
если официальной передачи не было и скзи за учредителем, то его подведомственной организации учитывать их в журнале?
источник

AP

Andrei Potseluev in Чат ruCyberSecurity
Если официальной передачи не было, то организация оказывает подведомственной услуги по шифрованию. Что тоже лицензируется.
источник

С

СаняШ in Чат ruCyberSecurity
А в чем проблема передать? Ну пусть напишут вам письмо что для работы передаём вам  то и то. И диск с скзи. Если они его пользуют то копию зареганную. по факту вы одна организация.
источник

S

Saches in Чат ruCyberSecurity
Pavel Korostelev
Самая сложная часть СКЗИ. У закупщика есть лицензия ФСБ на распространение СКЗИ? Если нет, то будут пробьемы.
КМК, в соответствии с ПП-313, это если в рамках оказания услуг. А если в целях оптимизации закупочной деятельности в группе компаний (или что-то в этом роде), под требования лицензирования не подпадает.
источник

AP

Andrei Potseluev in Чат ruCyberSecurity
Saches
КМК, в соответствии с ПП-313, это если в рамках оказания услуг. А если в целях оптимизации закупочной деятельности в группе компаний (или что-то в этом роде), под требования лицензирования не подпадает.
А где в 313 упоминание "группы компаний" Там сказано "юридического лица". С точки зрения закона, группа компаний, это разные юрлица. Пусть и аффилированные.
источник

S

Saches in Чат ruCyberSecurity
Andrei Potseluev
А где в 313 упоминание "группы компаний" Там сказано "юридического лица". С точки зрения закона, группа компаний, это разные юрлица. Пусть и аффилированные.
А в рамках каких услуг (договора) происходит передача СКЗИ между ЮЛ, в данном случае?
источник

AP

Andrei Potseluev in Чат ruCyberSecurity
Saches
А в рамках каких услуг (договора) происходит передача СКЗИ между ЮЛ, в данном случае?
Это вопрос, как Вы оформите. И это не только СКЗИ касается. Вы не можете просто так взять и перевести деньги со счета одной компании на счёт другой, даже если они группа компаний. Должно быть основание. Договор займа, купли-продажи, услуги и т.п.
источник

S

Saches in Чат ruCyberSecurity
Andrei Potseluev
Это вопрос, как Вы оформите. И это не только СКЗИ касается. Вы не можете просто так взять и перевести деньги со счета одной компании на счёт другой, даже если они группа компаний. Должно быть основание. Договор займа, купли-продажи, услуги и т.п.
Полностью согласен, что вопрос оформления важен. Но это больше вопрос бухгалтерии и учета. Что то же, достаточно важно. Т.е. кто реально платит деньги, и какое ЮЛ будет реально использовать  закупленные товары/услуги. Например, достаточно распространенный случай, когда услуги связи оплачивает одно ЮЛ, а пользуются ими и другие "дружественные" компании. А то, что это подпадает под КоАП и УК, особенно никто не парится.
источник

AP

Andrei Potseluev in Чат ruCyberSecurity
Saches
Полностью согласен, что вопрос оформления важен. Но это больше вопрос бухгалтерии и учета. Что то же, достаточно важно. Т.е. кто реально платит деньги, и какое ЮЛ будет реально использовать  закупленные товары/услуги. Например, достаточно распространенный случай, когда услуги связи оплачивает одно ЮЛ, а пользуются ими и другие "дружественные" компании. А то, что это подпадает под КоАП и УК, особенно никто не парится.
Не, если не заморачиваться на возможные санкции (весьма призрачные, надо сказать), то можно передавать СКЗИ, как и все остальное. Шансов, что поймают за руку действительно немного. Но тут есть один серьезный нюанс. Зачем дочерней компании СКЗИ? Если чисто для себя - вопросов нет. Если для выполнения требований регуляторов, то описанный выше сценарий не прокатит.
источник

S

Saches in Чат ruCyberSecurity
С последним предложением не согласен, и не понятно, исходя из какой нормативки сделан такой вывод. Например, если внимательно почитать ПП-313, включая его название, можно сделать вывод, что для инсталяции СКЗИ нужна лицензия ФСБ. Но, эта норма не работает, т.к. в более высокоуровневом документе - 99-ФЗ, однозначно сказано, что если для личного использования, лицензия не нужна.
источник

AP

Andrei Potseluev in Чат ruCyberSecurity
Saches
С последним предложением не согласен, и не понятно, исходя из какой нормативки сделан такой вывод. Например, если внимательно почитать ПП-313, включая его название, можно сделать вывод, что для инсталяции СКЗИ нужна лицензия ФСБ. Но, эта норма не работает, т.к. в более высокоуровневом документе - 99-ФЗ, однозначно сказано, что если для личного использования, лицензия не нужна.
В 313 сказано, что для личного не нужна. Не в 99-ФЗ. Вопрос не в инсталляции, а в наличии СЗИ и СКЗИ "на законных основаниях".
источник

S

Saches in Чат ruCyberSecurity
Необходимость наличия/владения/использования  на законных оснований распространяется вообще на всё. Не вижу смысла это обсуждать.
источник