14.02.2017

Конференция ФСТЭК: новые требования к лицензиатам

После вчерашней заметки, я бы хотел обратиться к более конкретным темам, прозвучавшим на конференции ФСТЭК. Одна из них - новые требования к лицензиатам ФСТЭК, описанные в 541-м Постановлении Правительства, и вступающие в силу в июне этого года.

Установлены непростые требования к персоналу. Пока это звучит как на каждый вид лицензируемой деятельности/работ нужно по 2 человека с трехлетним стажем. Причем прописан он должен быть в трудовой книжке. Хотите вы, например, предлагать услуги SOC, вынь да положь аналитика с соответствующей записью в трудовой да еще и исследователя вредоносной активности (ну или опять аналитика) также с записью в трудовой (помимо руководителя лицензируемого вида деятельности). Ну это вроде как логично - хочешь заниматься лицензируемой деятельностью, будь добр иметь соответствующий персонал. Хорошо, что требуется всего двое, а не 6 - для посменной работы. Но дальше начинается самое интересное. Вот хотите вы оказывать еще и услуги по пентесту или, куда его относят в ФСТЭК, контролю защищенности, и вам нужно еще 2 человека, у которых в трудовой написано, что они занимались контролем защищенности. То есть уже четыре человека и руководители. И так на каждый вид работ, которым вы хотите заниматься. В принципе, все это логично и укладывается в распоряжение Президента об усилении требований к лицензиатам, но далеко не все компании смогут выполнить новые требования - останутся только крупные компании.

Но… допустим занимались вы мониторингом ИБ на работе и могли бы рассчитывать, что ваша квалификация и стаж подойдут ФСТЭК при рассмотрении документов на лицензирование. Но в трудовой книжке у вас написано традиционное - “инженер по технической защите информации”, “техник по защите информации”, “главный специалист по технической защите информации” или “администратор по обеспечению безопасности информации”. А почему нет? Именно так должности звучат в приказе Минздравсоцразвития от 22 апреля 2009 г. № 205 «Об утверждении единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел «квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации».


И как понять, что техник или главный специалист занимались мониторингом ИБ? Только из должностной инструкции. И вот тут очередная засада - хорошо, если речь идет о компании с давней историей, в которой сотрудники работают по много лет. Представить органу по лицензированию такие инструкции не представит большой сложности. А если компания новая или она наняла новых сотрудников, которые на прошлом месте занимались мониторингом, но в трудовой у них все равно написано “техник по защите информации”? И как убедиться органу по лицензированию, что техник был аналитиком, а не настройщиком средств защиты? Только по заверенной должностной инструкции, которую сотрудник должен получить на старом месте работы… если оно еще существует… и если ему эту инструкцию выдадут.

Еще интересный вопрос. Когда руководитель отдела лицензирования ФСТЭК рассказывал о лицензионных требованях к соискателям, у меня возник вопрос по квалификации и стажу руководителя, который не имеет специализированного образования в области ИБ. Кстати, что это означает? Вот у меня в дипломе написано, что я инженер-математик со специализацией по защите информации. У меня какое высшее образование? По направлению в области ИБ или по направлению в области математических и естественных наук, инженерного дела, технологий и технических наук? Если вдруг я перейду на руководящую должность, мне понадобится 5 лет стажа или 3? И вновь возникает вопрос с тем, что у меня должно быть написано в трудовой книжке, по которой ФСТЭК будет определять мои компетенции. Кстати, интересно, много ли в России руководителей, у которых есть пятилетний стаж управления SOCом (мониторингом ИБ), а ведь без него лицензии не получить?

Интересная ситуация со сроками лицензирования. По озвученной на конференции версии ФСТЭК податься на получение лицензии вы можете только с момента вступления в силу соответствующего Постановления Правительства №541. И понятно, что должно пройти определенное время прежде чем ФСТЭК проверит все документы (включая и квалификационные требования к персоналу). И как тогда осуществлять деятельность тем, кто ее уже оказывает, в период между подачей на лицензию и ее получением? Незаконно? А если в этот момент прокурорская проверка нагрянет? Опять одни вопросы.

А ведь лицензиатам на новый вид деятельности по мониторингу еще нужно аттестовать свою инфраструктуру по требованиям к ГИС К1, а для этого выполнить требования по защите к таким ГИС, закупить оборудование и программные средства, заключить соответствущие договора. А Постановление вступает в силу в июне, а список требований к обязательному оборудованию появился на сайте ФСТЭК только в январе. Успеют ли?

Понятно, что это все ФСТЭК делает не по своей воле - у них есть распоряжение Президента России по усилению требований к лицензиатам, но некоторые вопросы можно было бы проработать заранее более внимательно.

ЗЫ. А еще меня удивило число лицензиатов ФСТЭК в России. Я никогда не думал, что у нас столько разработчиков средств защиты информации.


6 коммент.:

Александр Германович комментирует...

Ну так "усилить требования к лицензиатам" это и значит сделать их трудновыполнимыми и менее понятными.

Алексей Лукацкий комментирует...

Так я и не спорю :-)

Артем Филюшкин комментирует...

т.е. если группа лиц хочет организоваться и предоставлять услуги пентеста то им, в соответствии с новыми требованиями, необходимо иметь в своем составе 2х человек с профильным образованием (по ИБ) и опытом от 3 х лет в тестировании на проникновения (другой опыт в ИБ в данном случае не котируется? или допустим один из сотрудников сертифицированный сетевик, или админ), плюс аттестованное помещение? И в случае, если все требования удовлетворены, выдается лицензия на деятельность?

Алексей Лукацкий комментирует...

Типа да

Андрей Иванов комментирует...

Алексей, давайте разбираться. Есть у меня подозрение, что в данной информации есть ошибка. Ошибка не Ваша, а в изложенном тов. Мищенко на конференции ФСТЭК. Может быть, это как раз типичный пример, когда левая нога не знает, что делает правая.
Если по каждому виду работ, будь то мониторинг, проектирование, контроль защищенности, аттестация по 2 специалиста то это просто "драконовские" требования и в регионах даже действующие лицензианты не все способны их выполнить будут, думаю. И что делать? Отнимать лицензию у всех кроме самый самых при первой же проверке? Я думаю задача отфильтровать однодневки, а не загубить выход на рынок стартапам и развивающимся организациям.
Но давайте проведем параллель с требования ФСБ на криптографию. В 2012 году вышло 313 пп, в котором была такая же фраза "инженерно-технический работник (минимум 1 человек)... а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет". И перечислено 17 видов работ, для которых достаточно наличие этого работника. Получается, если читать дословно, то на каждый вид деятельности нужно по 1 человеку, или один/несколько, у которых в сумме открыты были все эти работы. На практике знаю, что ФСБ принимало 1 руководителя и 1 специалиста с записью в ТК что-то типа "Инженер внедрения СКЗИ", "Инженер отдела/направления СКЗИ" и не сличало, где какие виды были открыты. Даже слышал, что принимали просто специалистов с дипломом ИБ и стажем, но тут достоверной информацией не обладаю.
Уверен на 99% также будет и с лицензией ФСТЭК, руководитель с дипломом/переподготовкой и стажем + 2 специалиста с дипломом/переподготовкой и стажем.

Алексей Лукацкий комментирует...

Посмотрим. Ждать недолго осталось. Но в ответах представителя ФСТЭК звучали некоторые нотки неуверенности :-)