21.4.16

Ответ ФСТЭК стартапу по ИБ в части лицензирования деятельности по ТЗКИ

Упомянутый позавчера стартап по ИБ направлял вопросы не только в Минкомсвязь, но и в ФСТЭК России. И вот на днях был получен оттуда ответ, который, на мой взгляд, гораздо более адекватный и взвешенный, чем у ИТ-регулятора. Это не отписка, а ответ по существу.

На вопрос, каким требованиям должно соответствовать облачное решение по ИБ, ФСТЭК ответила, что нужна лицензия на деятельность по технической защите конфиденциальной информации. Не могу сказать, что это ново, но по крайней мере у ИБ-стартап появилась ясность относительно тех обременений, которые повлечет за собой запуск облачного ИБ-сервиса.


Следующий вопрос был связан с тем, что облачный провайдер привлекает для ряда работ внешних подрядчиков, которым передаются ПДн для обработки или хранения. Стартап спрашивал - нужна ли привлекаемой организации лицензия ФСТЭК на ТЗКИ. Нужна!


Ни действующие, ни новые требования к лицензиатам ФСТЭК, не будут дифференцированными и учитывать масштаб бизнеса лицензиата. Что стартап с двумя сотрудниками, что интегратор с 2-мя тысячами сотрудников - требования едины. Не очень позитивная новость для стартапов, относящихся к малым или микро-предприятиям.


Но зато не требуется контрольно-измерительное оборудования :-)


Еще одна засада для стартапа - место осуществления лицензируемых видов деятельности. На квартире или в собственном доме это не допускается.


Последний вопрос касался возможности использования open source решений при создании облачного сервиса по ИБ, который планировалось затем сертифицировать/аттестовывать. Тут ФСТЭК похоже с этим еще не сталкивалась, судя по тому, что они говорят о наличии договора (если только GNU License рассматривать как оферту), гарантиях качества, наличия консультаций и техподдержки.


Вот такой ответ от ФСТЭК. Четко, по делу, но не всегда позитивно :-( Но таковы уж реалии нашего рынка. Посторонних в ИБ становится все меньше и меньше, ибо национальная безопасность под угрозой. Скоро введут новые требования к ИБ-аудиторам и пентестерам и жизнь станет совсем веселой...

8 коммент.:

Дмитрий комментирует...

Алексей, а что за "стартап по ИБ"? О нем ничего не сказано, какое у них направление деятельности? Не зная сути запроса сложно понять, на что получен ответ, и как его можно применить в повседневной деятельности безопаснику на службе в коммерческой организации.

У меня сложилось впечатление, что стартап создан исключительно с целью рассылки запросов в "органы" и публикации ответов из "органов".

Алексей Лукацкий комментирует...

Стартап занимается облачным ИБ-сервисом

Дмитрий комментирует...

Вот "облачным ИБ-сервисом" это что? Они обрабатывают в облаке чью-то конфиденциальную информацию, или предоставляют услуги по защите информации в облаке. Или делают что-то типа SIEM в облаке.

В последнем случае им никакие лицензии не нужны.

Алексей Лукацкий комментирует...

И предоставляют услуги и обрабатывают чужие данные

Сергей Городилов комментирует...

Интересно, а в других странах, т.н. партнерах наших, там что стартап в 2 человека, "занимающийся ИБ" может так легко попасть в список того, что имеют право закупать госорганы?

Tomas комментирует...

Надо различать место разработки софта (лицензия на РСЗИ) и место обработки конфиденциальной информации (лицензия на ТЗКИ). Разрабатывать софт можно и дома на самом деле (и не проверят), просто получив лицензию на какой-то адрес, удовлетворяющий требованиям ФСТЭК. А вот ЦОД, где будет облачный сервис функционировать - это точно не квартира.

Алексей Лукацкий комментирует...

Сергей, да, вполне может

Unknown комментирует...

Это называется: "Почувствуй себя создателем Lego, когда собрал домик из Lego". Просматривается чёткая подмена понятий "РСЗИ" и "ТЗКИ".
Куча организаций имеет ИТ-отдел ввиде отдельного юр. лица. Теперь что ли "Всем ТЗКИ!!! Налетай, подешевело!!!"?! А потом "ФСТЭК очень занят, ждите ответа"... Никому не лучше от этого письма...