абсолютно согласен. Просто разговор так хорошо начинался, о безопасности. Я ушёл в бюрократию. Но вы правы, чо. Все бумажки нужны.

Так называемый комплаенс, это то же вопрос безопасников. К сожалению, или не очень...
И, кстати, например, программистам, очень полезно уметь читать любую документацию. Согласен, что остальным ИТ специалистам это может быть не так важно...

Ну, кроме бумаги, других мер по закреплению ответственности не придумано.

Вопрос.
Если ООЗ предполагает работы, для выполнения которых нужна лицензия, в условиях закупки можно не ставить наличие лицензии, а указать в проекте ГК возможность субподряда. И тогда Исполнитель, не обладающий лицензией, может привлечь лицензиата ?

В ООЗ защита информации, создание СЗИ, установка, настройка ЗИ, аттестация

На каком основании тогда будет требоваться наличие лицензии у субподрядчика?

Если речь про СЗИ и ФСТЭК, то нет. Про позицию СКЗИ и ФСБ не подскажу.

настраивать зи, и аттестовать потом это не может же одно лицо

Т.е. если нет требований по наличию лицензии, указана возможность субподряда, то не нарушение ?

Я про закупочную информацию

ДУмаю, должно быть быть 2 условия - наличие лицензии и отдельно оговоренная возможность субподряда

Нарушение. Поищите, есть письмо ФСТЭК с разъяснениями по этому поводу. Суть в том, что лицензию должна иметь вся цепочка исполнителей. От исполнителя по контракту и заканчивая фактическим исполнителем. Т.е. если это субсубсуб подряд, то у всех должны быть лицензии ФСТЭК на ТЗКИ. Отсутствие требований в закупочной документации во-первых можно расценить как нарушение, а во-вторых - как правило, там все равно присутствует фраза что "исполнитель должен выполнять все требования законодательства РФ" или что-то подобное.

Спасибо. Почитаю повнимательней

Я думала, что лицензия нужна всегда, если в ООЗ предполагается защита информации. А тут такая документация. И подумала "а что, так можно было ?!"

Что все можно решить субподрядом

возможно позже ответ, но вы в курсе используемых алгоритмов в pgp  и наших сертификатах и вообще о ситуации  с ЭП в других странах? Вы хоть поинтересуйтесь, ну а по pgp, в нем одна большая дыра от АНБ 😂

Давайте разделим две программы pgp и gpg. Вот про gpg я знаю только проблему с случайными числами на интел микросхеме.
Да, сама суть gpg намного более разумна в плане чистого шифрования.

опечатка, конечно же pgp
вы, к сожалению, сравниваете теплое с мягким, pgp в первую очередь шифрование, а ЭП это удостоверение подлинности документа. Если же сравнивать в плане шифрования, то надо сравнивать PGP, например, с КриптоАРМ, VipNet CryptoFile.

что вы за человек такой? Может вы просто её не юзали в никс? Или не знаете, почему они отличаются?

gpg --version
gpg (GnuPG) 2.2.17
libgcrypt 1.8.3
Copyright (C) 2019 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <https://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: /home/ty/.gnupg
Поддерживаются следующие алгоритмы:
С открытым ключом: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH,
                    AES, AES192, AES256, TWOFISH, CAMELLIA128,
                    CAMELLIA192, CAMELLIA256
Хеш-функции: SHA1, RIPEMD160, SHA256, SHA384, SHA512,
             SHA224
Алгоритмы сжатия: Без сжатия, ZIP, ZLIB,
                  BZIP2

Я не на 146% уверен, но мне кажется логичным, что gpg также может заверить документ сертификатом.

в России некошерны неГОСТ алгоритмы :)