четверг, 9 февраля 2012 г.

Новое Положение о лицензировании деятельности по ТЗКИ

3 февраля сего года подписано Постановление Правительства РФ № 79 "О лицензировании деятельности по технической защите конфиденциальной информации", которым утверждено новое "Положение о лицензировании деятельности по технической защите конфиденциальной информации". Довольно подробно по нему уже прошлись Александр Бондаренко, Алексей Лукацкий и Михаил Емельянников.

Я бы хотел остановиться на следующем моменте: согласно п.4 Положения вся деятельность по ТЗКИ теперь подразделяет на следующие виды работ и услуг:
а) контроль защищенности конфиденциальной информации от утечки по техническим каналам ...
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
в) сертификационные испытания ...;
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации;
д) проектирование в защищенном исполнении...;
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Таким образом получается, что всем компаниям, обрабатывающим конфиденциальную информацию (а согласно Положению ею является информация, не содержащая сведения, составляющие государственную тайну, но защищаемая в соответствии с законодательством РФ, т.е. и те же персональные данные, и сведения, составляющие банковскую тайну и другие многочисленные виды тайн) необходимо как минимум получать лицензию на ТЗКИ для выполнения работ, предусмотренных подпунктом "е" пункта 4 Положения, т.е. чтобы установить себе лично любое средство защиты.

Так вот, я бы хотел остановиться на том, на что же ФСТЭК обрекает миллионы невинных российских организаций, обязанных получить эту лицензию ради кормушки регуляторов повышения уровня защиты конфиденциальной информации.

Итак, согласно Положению к соискателю лицензии на осуществление деятельности по ТЗКИ предъявляются следующие лицензионные требования:
а) для юр. лиц наличие специалистов, находящихся в штате соискателя лицензии, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации; для индивидуальных предпринимателей требование по наличию образования или переподготовке предъявляется к ним самим, так что придется бедным предпринимателям малость поучиться;
б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих установленным законодательством РФ техническим нормам и требованиям по технической защите информации (по сути получается аттестованным) и принадлежащих соискателю лицензии на праве собственности или на ином законном основании;
в) наличие на праве собственности или на ином законном основании контрольно-измерительного оборудования (прошедшего в соответствии с законодательством РФ метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования, соответствующего требованиям по техническим характеристикам и параметрам, устанавливаемым ФСТЭК;
д) наличие автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством РФ;
е) наличие предназначенных для осуществления лицензируемого вида деятельности программ для ЭВМ и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании;
ж) наличие технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с утверждаемым ФСТЭК перечнем и принадлежащих соискателю лицензии на праве собственности или на ином законном основании.
И во что же это все это выльется для конечных организаций?

UPD
Нашел еще анализ нового Положения о лицензировании деятельности по ТЗКИ у Сергея Борисова. У него в дополнение к сказанному другими экспертами дан более подробный анализ того, какие задачи, связанные с установкой и эксплуатацией СЗИ для собственных нужд, попадают под лицензирование, а какие нет.

11 комментариев:

  1. а что собственно изменилось то (по большому счету)?

    или трагедия в том что всё осталось как есть?

    ОтветитьУдалить
  2. Трагедия в определении ТЗКИ и формулировке п.п. "е" п.4 Положения - теперь трудно будет отвертеться от того, что установка СЗИ на рабочих компьютерах не подпадает по ТЗКИ.
    Надежды на разумность регуляторов больше нет =)

    ОтветитьУдалить
  3. Да если подумать что тут такого в затратах:
    а) обученные специалисты - если организация сама хочет устанавливать СЗИ то обучение будет очень даже кстати. Я думаю ответственные сотрудники будут не против чтобы их обучили. А иногда им приходится выбивать обучение с работодателя годами.
    б) защита и аттестация 1 защищаемого помещения ~ 100 тыс. Если обосновать регйлятору что КИ не будет обсуждаться, то есть не будет конфиденциальных переговоров - то можно не аттестовать.
    в)комплект ПО для контроля НСД то будет ещё +20 тыс руб.
    про защиту от учетек по техническим каналам надо сказать что они не актуальны и измерений не требуется. В крайнем случае взять в аренду +200 тыс в год.

    д)1 защищенный АРМ. В организации всё равно придется защищаться АРМ участвующие в обработку ПДн. Можно выбрать один из них. Можно добавить +1 - затраты минимальные.

    е) существующие лицензии на Windows, Office, Winrar.

    ж) скачать открытые документы. Заказать за 2 тыс руб. закрытые документы.

    ОтветитьУдалить
  4. Да, и того получается более 300 тыс при минимальном раскладе + время на подготовку и получение лицензии, которое тоже в конечном итоге выливается в деньги.
    А теперь взять какую-нибудь организацию из SMB, обрабатывающую ПДн, и подумать - а оно им надо?

    ОтветитьУдалить
  5. Это мнение было у ФСТЭК и до выходя ПП79. Т.е. имхо "миллионы невинных российских организаций" - это киношный спец.эффект, а не обзор изменений.

    ОтветитьУдалить
  6. Артем, не понял в чем суть твоих претензий?

    ОтветитьУдалить
  7. Игорь, которые компании готовы платить 1 млн если за них сделают всю работу и получат лицензии в кратчайшие сроки.

    Если в компании компетентные люди, то можно самим сделать все работы, спорить с ФСТЭК и т.п. Думаю тут по минимуму можно 100 тыс. обойтись.

    А если в компании нет ни специалистов ни желания проводить работы по защите информации. То легче обратиться к услугам компаний - лицензиатов.
    Защита одного компьютера с ПДн обойдется в 10-30 тыс. руб.

    Вообще я считаю в целом подход правильным - есть организации которые тратят деньги на обучение специалистов, приобретение средств аудита, проводят аналитику, согласуют свои подходы с Регулятором. Должны же их расходы окупаться? Вот регуляторная мера один из стимулов.
    Это лучше чем в организациях будут админы-на все руки мастера этим заниматься.

    ОтветитьУдалить
  8. Игорь, я не согласен с твоим подходом, что "невинные российские организации" служат "кормушкой" для ФСТЭК.

    Видится мне, что отпустив все это дело "на вольные хлеба" операторы совсем не побегут защищать наши с тобой перс.данные с помощью самых современных СЗИ, а просто забьют на это дело.

    Отсюда мне кажется, что твой подход не заслуженно обижает тех людей, которые действительно радеют за дело защиты информации и понимают, что время пряника еще не пришло.

    ОтветитьУдалить
  9. Мое личное мнение в том, что обязательность для миллионов организаций получения лицензии на ТЗКИ для того, чтобы защитить свои компьютеры, пусть и с нашими ПДн - все-таки мера чрезмерная, и практически не реализуемая на практике. А зачем тогда нам такие документы, которые есть, но которые не работают. Вы сделайте документ, который будет соответствовать текущим реалиям, и если уж хотите закручивать гайки, то делайте это постепенно, а не так, что бам - либо плати бабки, получай лицензию и делай сам, либо заключай договор с лицензиатом и опять таки плати бабки.
    Интересные мысли насчет

    ОтветитьУдалить
  10. Кстати, интересные мысли насчет деятельности, прибыли и лицензирования в блогах Саши Бондаренко (http://secinsight.blogspot.com/2012/02/blog-post_09.html) и Алексея Волкова (http://anvolkov.blogspot.com/2012/02/blog-post.html)

    ОтветитьУдалить
  11. Дык дело в том что гайки никто и не закручивал (а скорее наоборот - эксплуатация СЗИ теперь не требует лицензии).
    http://lukatsky.blogspot.com/2010/07/blog-post_06.html - почитай что (многократно) говорила ФСТЭК раньше.

    имхо история с ПП79 напоминает историю с обсуждением июльской поправки к 152-ФЗ. Вначале все её обругали, а потом стали вчитываться и сравнивать с тем что было и все оказалось совсем не так грустно...

    ОтветитьУдалить