05.02.2016

Лицензия ТЗКИ для собственных нужд больше не потребуется

На портале проектов нормативных актов выложен неприметный документ с неприметным названием: "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности", который при этом касается именно нашей с вами темы, а точнее вопросов лицензирования деятельности по технической защите конфиденциальной информации (ПП-79).

Самое главное, что предлагается изменить, - в явной форме зафиксировать мысль, что лицензия для обеспечения собственных юрлица или индивидуального предпринимателя не требуется. Если этот документ примут в такой редакции, то наконец-то будет поставлена точка в вопросе - нужно или нет получать лицензию на ТЗКИ для защиты собственной информации (например, при реализации положений ФЗ-152).

А вот что касается тех, кто предоставляет услуги по защите информации третьим лицам, их новый проект положения коснется в полной мере. Среди нововведений:

  • Требование лицензии на ТЗКИ при проведении мониторинга ИБ. То есть все SOCи и иже с ними потребуют получения соответствующей лицензии от регулятора.
  • Наладка средств защиты также теперь потребует лицензии ФСТЭК.
  • Четко прописаны требования к квалификации и количеству персонала у лицензиата.
  • Оборудование, необходимое для выполнения лицензионных работ, теперь должно быть только в собственности лицензиата. Больше никакой аренды.
  • Требование наличия системы менеджмента ИБ в соответствие с требованиями национальных стандартов. Иными словами, теперь все лицензиаты ФСТЭК должны у себя реализовывать ISO 27001. Что интересно, при подаче документов на получение лицензии необходимо представить копии документов, подтверждающих наличие такой системы менеджмента. Что это за документы? Сертификат соответствия, выданный BSI или иным органом по сертификации?
  • Появилось требование обязательного повышения квалификации один раз в пять лет.
Что можно сказать в качестве резюме по данному проекту нормативного акта. ФСТЭК снимает обременения с тех, кто занимается защитой для себя (а точнее ставит точку в бесконечных спорах о необходимости получать лицензию для собственных нужд). И это позитивно. С другой стороны, требование иметь собственное оборудование повышает порог вхождения в этот бизнес (оборудование недешевое). А уж требование иметь сертификат по 27001 и вовсе существенно сужает число потенциальных игроков этого рынка, оставляя только тех, кто реально понимает, что и зачем он делает. "Старперам от аттестации" больше не место в этой области.

Вторая часть проекта постановления посвящена внесению изменений в ПП-171, посвященное лицензированию деятельности по разработке средств защиты конфиденциальной информации. Тут изменения схожи с вышеописанными:
  • Четко прописаны требования к квалификации и количеству персонала у лицензиата.
  • Оборудование, необходимое для выполнения лицензионных работ, теперь должно быть только в собственности лицензиата. Больше никакой аренды.
  • Наличие системы менеджмента качества (ISO 9000), а также реализацию стандарта (пока проекта) по безопасному программированию (SDLC).
Собственно, ключевое изменение - последнее. Раньше наличие сертификата соответствия ISO 9000 не требовалось при получении лицензии на разработку средств защиты. С одной стороны это позитивный момент, так как с рынка уйдут фирмы-однодневки, решившие на волне импортозамещения по-быстрому состричь денег за счет выпуска какой-нибудь поделки. С другой - требование сертификации системы менеджмента качества выводит за скобки нарождающиеся стартапы, которые не смогут вкладываться в эту статью затрат пока не продадут достаточно количества своих решений. А продавать они их смогут только коммерческим компаниям, которым не требуется сертификация средств защиты (сертификат может быть выдан по сути только лицензиату). Так что решение неоднозначное, но интересное.

ЗЫ. Желающие могут высказать свои предложения (а не критику) на странице законопроекта.

6 коммент.:

Константин комментирует...

Хочется добавить, что вносимые изменения обратной силы не имеют и должны применяться только к отношениям, возникшим после вступления изменений в силу. То есть они не будут относиться к уже существующим лицензиатам. А с учётом того, что лицензии уже выдаются бессрочные, то нынешним лицензиатам очень повезло.

p.a.kulikov комментирует...

*/минутка здорового шовинизма/*

хоть что-то светлое! а мне нравится тенденция по персоналу: 313-П - качество персонала. ISO 27* - качество персонала. сейчас ТЗКИ будет по качеству персонала. ISO 9* и SDLC? - качество персонала. принимайте быстрее! а то скоро жизненный цикл СТО БР подходит и надо еще что-то успеть наваять по НСПК (на базе PCI DSS конечно, но учитывая заложенную тенденцию - опять же - качество персонала).

*/минутка здорового шовинизма/*

может быть тогда иберасты от родственно-причинной связи пропадут?

Александр Германович комментирует...

" 4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг (за исключением случаев, если указанные виды работ и услуг выполняются и (или) оказываются для обеспечения собственных нужд юридического лица или индивидуального предпринимателя):
..........
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации. "

То есть юрлицо сможет аттестовать само себя без лицензии? Ну-ну. Тогда зачем она вообще нужна?

Ledokol комментирует...

Алексей, а почему защита персональных данных сотрудников - это "собственные нужды"?
То есть, по Вашему, персональные данные принадлежат не субъекту, а его работодателю?
Крепостное право вернулось?

Что касается вносимых изменений - вопросов возникает много.
И основной тот, про который вы сказали - налицо жесткие ограничения при первичном получении лицензии.
Особенно на разработку и производство.

Сергей Симак комментирует...

Выстрел в пятку. Подобные изменения оставят на рынке только крупных игроков. Все мелкие региональные лицензиаты (кто предоставляет услуги по защите информации третьим лицам) просто перестанут существовать. Кроме того это ухудшит качество проводимых работ в организациях "для собственных нужд". Поскольку выполнять их будут обычные админы эникейщики без должного уровня подготовки. И вот тут довольно комично. Если ты хочешь делать бизнес то нужно иметь очень квалифицированных специалистов (что непременно скажется на стоимости проведения работ) а если "для собственных нужд", то и школьного образования будет достаточно. В итоге рынок тряхнет и очень сильно.

Алексей Лукацкий комментирует...

Кого не устраивают изменения, могут написать свои предложения по ссылке в тексте :-)

Александр: это не так. Там просто написано, на что дают лицензию.

Ledokol: защита персданных - это собственные нужды оператора.

Сергей: для собственных нужд и сейчас никто лицензию не получал и не получает. Так что для 99% рынка ситуация не поменяется.