18.11.2016

На деятельность пентестеров, аудиторов и SOCов требуется лицензия!

15-го июня было принято новое Постановление Правительства №541, о проекте которого я уже писал в феврале и которое внесло поправки в правила лицензирования деятельности по защите информации и по разработке средств защиты информации. Я летом что-то замотался и забыл про него написать, а позавчера на SOC Forum (кстати, материалы с него уже выложили) начальник 2-го управления ФСТЭК Дмитрий Шевцов напомнил всем собравшимся, что с июня 2017-го года деятельность всех аутсорсинговых SOC (а также аудиторов и пентестеров)  подпадает под лицензирование. Поэтому я решил вернуться к этому НПА и написать про него чуть подробнее.

Первая важная поправка в существующее Постановление Правительства №79 "О лицензировании деятельности по технической защите конфиденциальной информации" коснулась расширения списка видов деятельности, которые теперь потребуют обязательной лицензии. К ним относятся услуги:
  1. по контролю защищенности информации от утечек по техническим каналам
  2. по контролю защищенности информации от несанкционированного доступа
  3. по мониторингу ИБ
  4. по аттестации
  5. по проектированию в защищенном исполнении
  6. по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации.
Если отбросить специфические 1, 4 и 5 пункты, то у нас получается, что деятельность аудиторов, пентесторов и SOCов подпадает под новое регулирование и требует лицензии ФСТЭК. В принципе ФСТЭК уже не раз предупреждала об усилении требований к лицензиатам и желании навести порядок на рынке ИБ, убрав фирмы-однодневки и другие малоквалифицированные конторы. И вот результат.

Требования к лицензиатам непростые. Во-первых, это численность и квалификация персонала, к которым предъявляются особые требования, которые не способны будут выполнить многие небольшие фирмы и тем более стартапы. Во-вторых, требуется собственное помещение. И, наконец, сертифицированные средства контроля защищенности. Обо всем этом ФСТЭК уже говорила еще в начале года, так что была возможность подготовиться к новым требованиям. Хотя, что касается пентестеров, то многим из них будет непросто выполнить новый НПА по всем трем требованиям. 

На SOC Forum Дмитрий Шевцов также упомянул, что и SIEM, используемые в SOC, также должны быть сертифицированы (хотя в самом Постановлении этого в явном виде нет), что вызвало некоторое неудовольствие со стороны представителей коммерческих SOCов - Solar Security (JSOC) и Информзащиты (SOC+). Они используют в качестве основы для своих SOCов иностранные SIEM, которые сертификата не имеют, что ставит под сомнение возможность расширения существующих лицензий этих двух компаний и, как следствие, вопрос о способности выполнять лицензируемый вид деятельность. Но думаю этот вопрос к июню может решиться. Хотя требований ФСТЭК ни к сканерам защищенности, ни к SIEM пока нет, а судя по прошлогоднему выступлению ФСТЭК на SOC Forum и не предвидится.

Кстати, лицензия понадобится и SOCам, которые сейчас создаются многими холдинагми для обслуживания интересов группы компаний. Например, SOC Сбербанка, SOC РЖД, SOC Ростеха (он же КЦОПЛ). Они предоставляют услуги множеству дочерних предприятий своего холдинга или группы компаний, что, по мнению ФСТЭК, требует наличия лицензии, на получение которой осталось около полугода.

В ПП-541 также интересен и последний пункт в списке новых видов деятельности. Означает он одно - любой интегратор, устанавливающий хотя бы антивирус, должен иметь лицензию ФСТЭК. Это примерно как любая компания, продающая средства шифрования (в понимании ФСБ) обязана иметь лицензию ФСБ.

Несмотря на озвученный бывшим Президентом Медведевым курс на снижение обременений по части лицензирования, ситуация, по крайней мере в области ИБ, возвращается к исходному состояния, а местами даже и ухудшается. Посмотрим, повлияет ли это на улучшение уровня ИБ в России.


27 коммент.:

Булат Шамсутдинов комментирует...

"Если отбросить специфические 1, 4 и 5 пункты"

Может быть пункт 5 не такой уж и специфический.

"Проектирование в защищенном исполнении: средств и систем информатизации"

Автоматизированная система в защищенном исполнении: Автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или нормативных документов по защите информации.
Сам ГОСТ на АСЗИ распространяется на АС, "в отношении которых законодательством или заказчиком установлены требования по их защите".

Если принять, что система информатизации в защищенном исполнении = АСЗИ, то приходим к тому, что

1) Если в системе даже просто планируется обрабатывать, например, ПДн - проектировщику (разработчику) нужна лицензия ТЗКИ.
2) Если по ТЗ к создаваемой системе есть требования в части защиты информации (например, в основаниях для разработки - ФЗ 152, ФЗ 149), то проектировщику (разработчику) нужна лицензия ТЗКИ.

Александр Хонин комментирует...

А куда делся вид деятельности "сертификационные испытания на соответствие требованиям по безопасности информации продукции..."?.

Алексей Лукацкий комментирует...

Булат, это все интеграторский бизнес, а он и так попадает под лицензирование.

Алексей Лукацкий комментирует...

Александр, в смысле куда делся? В проекте его и не было.

sluge комментирует...

Это что же получается, все пентестерские тулы теперь должны быть сертифицированы у них? Всякие там sqlmap?

Александр Хонин комментирует...

Алексей, я имел в виду, что в действующей редакции Постановления №79 есть отдельный вид деятельности "сертификационные испытания на соответствие требованиям по безопасности информации продукции...". После вступления в силу постановления №541 данный вид деятельности убирается из общего перечня.

Александр Германович комментирует...

Вообще-то и раньше любой интегратор, устанавливающий кому-то СЗИ, должен был иметь лицензию. ФСТЭК этот вопрос разъясняла еще в 2012 году. Ничего нового.

Алексей Лукацкий комментирует...

Александр Хонин: ааа, тут не знаю.

bim1984 комментирует...

"...это все интеграторский бизнес, а он и так попадает под лицензирование."
Алексей, а если речь идет об информационной системе для себя, а не об интеграторском бизнесе?
Например, у меня есть информационная система, которой пользуются внешние пользователи, и я в ней делаю систему защиты (составляю тех. проект и т.д. благо опыт есть) мне в этом случае нужна лицензия или нет?

Алексей Лукацкий комментирует...

Для себя не надо

Александр Бодрик комментирует...

Алексей, для себя точно не надо? Помнится, вопрос с лицензией ФСБ по обслуживанию криптографии для собственных нужд был четко решен - не надо, а вопрос с ФСТЭК в каком-то мутном состоянии - вроде ФСТЭК не плющит но и четкого решения (как с лицензией ФСБ) нет.

Сфинкс с Невы комментирует...

Алексей, по сравнению с Вашей первоначальной заметкой из вносимых изменений убрали:
- поблажку "для собственных нужд";
- требования к менеджменту ИБ.
По квалификации персонала тоже есть вопрос:
Откуда взять "стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет"... если для лицензируемого вида деятельности "услуги по мониторингу информационной безопасности средств и систем информатизации" специалистов на всю страну "раз, два...".

Алексей Лукацкий комментирует...

Александр: по лицензии ФСТЭК не надо. Это и в их письме официальном разъяснено от 2012-го года, и на SOC Forum я публично спросил об этом представителя ФСТЭК. С ФСБ ситуация как раз наоборот - не надо для техобслуживания, а для остального надо. А по версии ФСБ, вот этого "остальног" очень много

Алексей Лукацкий комментирует...

Сфинкс: ну не совсем так. Мониторингом у нас занимаются многие и давно

dramf комментирует...

Прямо много эмоций по поводу этих изменений.

Сначала про «установку антивируса без лицензии».
Конкретный пример. Ларек, занимается ремонтом и продажей смартфонов. И походу сотрудник, при желании клиента, устанавливает антивирус и продает лицензионный ключ. Т.е. скачивает из маркета и устанавливает антивирус. Теперь такому ларьку нужна будет лицензия.

Допустим, владелец пойдет на лицензирование. Отправит сотрудников на повышение квалификации, снимет офис, аттестует АС, снимает отдельное помещение, которое оборудует сертифицированными средствами защиты информации. В общем, потратит несколько сотен тысяч рублей в кризис.

Вопрос. Изменится ли технологический процесс установки антивирусов? Думаю, что нет. Просто где-то будет «спец.помещение». А самое интересное в том, должен ли этот процесс меняться? Если да, то в соответствии с каким-то руководящим документом ФСТЭК?

Сразу про квалификацию сотрудников – тут вопросов нет. Повышение квалификации важно, и в компаниях, занимающихся хоть как-то ИБ, должен быть отлажен механизм регулярного повышения квалификации. (опустим вузы, которые сразу начнут торговать подходящими свидетельствами под видом «удаленного обучения»).

Контроль. Сможет ли ФСТЭК осуществлять контроль за всеми? Сколько у ФСТЭК управлений по России? 5 (пять)? ) Или внесены изменения в КоАП, позволяющие, например, сотрудникам МВД составлять протоколы за подобное (установка антивирусов без лицензии) правонарушение?

Это может привести к следующему – честные, кто знает и понимает о необходимости наличия лицензии ФСТЭКа, но не имеют средств, уйдут с рынка. Наглые будут «косить» деньги без лицензии.

Теперь про «SOCы».
Что понимается под «проведением мониторинга ИБ»? Т.е. есть ли нормативно установленные действия, попадающие под определение «мониторинг ИБ»?

Т.е. анализ защищенности чей-то АС это одно. А если своей АС? А если это анализ сертифицированного средства защиты? А если журнал (юр.лицо) собирает и публикует информацию об имеющихся уязвимостях – это мониторинг ИБ? Или потом опять пойду письма-разъяснения от ФСТЭКа?

Да, еще. как-то уж очень интересно совпало данное требование с обнаружением уязвимостей в нескольких сертифицированных средствах защиты от НСД. Сертификаты, кстати, выдавались именно ФСТЭКом.

В общем, что-то требование о наличие лицензии на ТЗКИ слабовато, надо было сразу требовать лицензию на ГТ, и уголовную ответственность за работу без нее. Тогда 100% повысится «уровень ИБ в России».

Несколько лет назад со ФСТЭК «сняли погоны». Видимо, следующий шаг – расформирование.

Алексей Лукацкий комментирует...

Не без перегибов

МФЦ СИБ комментирует...

Алексей, я правильно понимаю, что для "своих нужд" органы понимают деятельность которую не регулируют федеральное законодательство? Скажем есть государственная или муниципальная ИСПДн, защищенная, аттестованная итд, и вот работы по контролю защищенности теперь можно делать только имея лицензию?

Алексей Лукацкий комментирует...

Для своих - это внутри своей организации. Стоит появиться третьему лицу и это уже считается предоставлением услуг

Serj комментирует...

Алексей, вопрос по теме. Лицензионными требованиями (с 17.06.2017), предъявляемыми к лицензиату (соискателю лицензии) на осуществление деятельности по технической защите конфиденциальной информации, являются:


-наличие помещений, принадлежащих лицензиату (соискателю лицензии) на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, производственного и испытательного оборудования для осуществления лицензируемого вида деятельности, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.


Какими документами подтвердить:
-соблюдение условий в помещении для размещения работников, производственного и испытательного оборудования;
- соблюдение условий в помещении для осуществления лицензируемого вида деятельности?

Алексей Лукацкий комментирует...

Может аттестат?

Serj комментирует...

Алексей это вы про аттестацию рабочих мест по требованиям санитарных норм и безопасных условий труда?

Алексей Лукацкий комментирует...

Про аттестат ФСТЭК

Serj комментирует...

Аттестат ФСТЭК может подтвердить только наличие условий в помещении для обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.

Алексей Лукацкий комментирует...

Данный пункт требует подтверждения наличия условия для ведения лицензируемого вида деятельности. В 99% случаев это аттестат ФСТЭК. Если есть сомнение, то можно написать запрос в ФСТЭК через их сайт

Serj комментирует...

Алексей, я так и сделал направил, еще осенью 2016, свой вопрос на электронную почту ФСТЭК, но ответа так и не получил. Комментарии по этим новым требованиям на сайте ФСТЭК тоже отсутствуют. Может еще раз прокомментируете в своем блоге, но более подробно, новые требования к лицензиатам ФСТЭК?

Алексей Лукацкий комментирует...

По e-mail или через форму обратной связи? Я могу предложить задать соответствующий вопрос на конференции ФСТЭК, которая 8 февраля пройдет.

Serj комментирует...

Подавал через форму обращения на сайте ФСТЭК. По прошествии месяца не дождался ответа и продублировал вопрос со своей рабочей почты, обратил внимание, что обращаюсь повторно. Но ответа так и не дали.
Задать вопрос на конференции и получить на него ответ регулятора было бы здорово! Вернетесь потом к этому вопросу в своем блоге?