Что-то в последнее время я часто пишу про лицензирование ТЗКИ. Но так уж сложилось, что постоянно какие-то новые факты всплывают. Вот тут на днях ФСТЭК выложила на сайте перечень документов, необходимых для получения лицензии на деятельность по ТЗКИ. И есть там такой пункт: "документы, содержащие сведения о наличии контрольно-измерительного, производственного и испытательного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемого вида деятельности, с приложением копий документов о поверке (калибровке) и маркировании контрольно-измерительного оборудования, а также документов, подтверждающих права соискателя лицензии на использование указанного оборудования, средств защиты информации и средств контроля защищенности информации".
В целом ничего крамольного. Такого добра на рынке немало. Но... пара препятствий все-таки имеется. Как поступали раньше многие компании, желающие получить лицензию, но не желающие платить за это самое контрольно-измерительное оборудование? Брали его в аренду. По документам оно как бы было, а на самом деле оставалось у арендодателя. И вот стали поступать сигналы от разных компаний, что ситуация поменялась. Если раньше ФСТЭК скволь пальцы смотрела на аренду оборудования, то сейчас она требует иметь это оборудование в собственности. В противном случае, лицензия выданное арендодателю, считается приостановленной. С точки зрения логики оно правильно. Раз я оборудование сдал в аренду, то у меня его нет, а значит лицензионные условия не выполняются. Т.е. лицензия должна быть приостановлена. В итоге взять в аренду такое оборудование становится все сложнее и сложнее.
Остается его приобрести. И вот тут возникает второе препятствие. Стоимость такого оборудования составляет, по разным оценкам, от 2-х до 3-х миллионов (!) рублей. Хотя стоимость самой лицензии по-прежнему составляет всего несколько сотен рублей. Вот такие пироги.
Вообще после смены директора ФСТЭК в прошлом мае, регулятор сильно поменялся. От былой либерализации следов остается все меньше и меньше. И требования по сертификации меняются (хотя сами документы не трогали). И требования по лицензии поменялись. И позиция по лицензированию стала более жесткой. И по проверкам тоже ситуация сдвигается. Было негласное правило, что ФСТЭК, ФСБ и РКН друг друга не проверяют по линии ПДн. А тут на днях оказывается, что ФСТЭК решил проверить одно из управлений РКН по части защиты ПДн! А ведь еще даже не весна ;-)
Интересно, в области экспортного контроля они также лютуют?
В целом ничего крамольного. Такого добра на рынке немало. Но... пара препятствий все-таки имеется. Как поступали раньше многие компании, желающие получить лицензию, но не желающие платить за это самое контрольно-измерительное оборудование? Брали его в аренду. По документам оно как бы было, а на самом деле оставалось у арендодателя. И вот стали поступать сигналы от разных компаний, что ситуация поменялась. Если раньше ФСТЭК скволь пальцы смотрела на аренду оборудования, то сейчас она требует иметь это оборудование в собственности. В противном случае, лицензия выданное арендодателю, считается приостановленной. С точки зрения логики оно правильно. Раз я оборудование сдал в аренду, то у меня его нет, а значит лицензионные условия не выполняются. Т.е. лицензия должна быть приостановлена. В итоге взять в аренду такое оборудование становится все сложнее и сложнее.
Остается его приобрести. И вот тут возникает второе препятствие. Стоимость такого оборудования составляет, по разным оценкам, от 2-х до 3-х миллионов (!) рублей. Хотя стоимость самой лицензии по-прежнему составляет всего несколько сотен рублей. Вот такие пироги.
Вообще после смены директора ФСТЭК в прошлом мае, регулятор сильно поменялся. От былой либерализации следов остается все меньше и меньше. И требования по сертификации меняются (хотя сами документы не трогали). И требования по лицензии поменялись. И позиция по лицензированию стала более жесткой. И по проверкам тоже ситуация сдвигается. Было негласное правило, что ФСТЭК, ФСБ и РКН друг друга не проверяют по линии ПДн. А тут на днях оказывается, что ФСТЭК решил проверить одно из управлений РКН по части защиты ПДн! А ведь еще даже не весна ;-)
Интересно, в области экспортного контроля они также лютуют?
30 comments:
А действительно придется переоформлять. Старые лицензии прекращают действие либо по окончании срока, либо как у вас - смена названия организации. Если бы виды деятельности по ТЗКИ не изменились, то переоформлять было бы не надо, а так наименование деятельности в лицензии должно соответствовать 79ПП.
Теперь ремарка по поводу проверок. Проекты ПП по уровням защищенности и требованиям готовит ФСБ. Интересно, участвует в этом ФСТЭК? Ведь проверять соответствие этим требованиям будут они.
Все участвуют. И проверять будет не только ФСТЭК, но и ФСБ.
Самый бюджетный комплект контрольно-измерительного оборудования можно взять за 700-800 тыс. рублей, но это все равно много, конечно.
С арендой не так все плохо (в крайнем случае в прошлом году было) - лютуют, если арендатор и арендодатель в разных городах.
Если в одном городе, то ФСТЭК только контролирует, чтобы это оборудование не было в аренде у кучи организаций.
А если фактический адрес деятельности меняется, то тоже ведь менять бланк надо...
"С точки зрения логики оно правильно. Раз я оборудование сдал в аренду, то у меня его нет, а значит лицензионные условия не выполняются."
ну это в частном случае, а не в общем.
оборудование не используется ведь во всех конторах 24/7.
понадобилось провести замеры - взял на день по запросу, потом вернул.
Алексей, насколько понимаю лицензия на ТЗКИ теперь дифференцирована по направлениям деятельности. Для лицензии на защиту тех же ПДн измерительные комплексы не потребуются.
Посмотрите постановление внимательно. Там написано: "наличие на праве собственности или на ином законном основании контрольно-измерительного оборудования (прошедшего в соответствии с "законодательством" Российской Федерации метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования, соответствующего требованиям по техническим характеристикам и параметрам, устанавливаемым Федеральной службой по техническому и экспортному контролю (при выполнении работ и (или) оказании услуг, предусмотренных подпунктами "а", "в", "г" и "е" пункта 4 настоящего Положения)".
А пункт "е" как раз и говорит об установке средств защиты информации.
Пункт "е" содержит в себе 6 видов средств, 3 из которых со словом "технические" имеют отношения к техническим каналам утечки, 3 - с фразой "программные (программно-технические)" к ИТ-безопасности.
Выбираете то, что вам нужно.
А разве договор аренды не является разновидностью "наличия на праве собственности или на ином законном основании ...". То есть в чем проблема с точки зрения регулятора, что лицензиат не покупает оборудования, а владеет им на "ином законном основании" (аренда)?
Мегафону
Для защиты ПДн не требуются, а вот для Аттестации тех же ИСПДн, которая выделена в отдельный вид деятельности, даже если угроза ПЭМИН не актуальна, оборудование нужно. А это уже огорчает.
Хотя, получается, и для установки СЗИ требуется... Так что - без вариантов теперь.
Договор аренды является... Только арендуя, арендодатель теряет на это время право заниматься лицензионной деятельностью
Может недостаточно ясно высказал свои мысли:
"Пункт "е" содержит в себе 6 видов средств, 3 из которых со словом "технические" имеют отношения к техническим каналам утечки, 3 - с фразой "программные (программно-технические)" к ИТ-безопасности.
Выбираете то, что вам нужно."
Добавлю. Для установки СЗИ, таких МЭ, СЗИ от НСД, АВЗ и тому подобное, что привычно относится к ИТ-безопасности, контрольно-измерительное оборудование не нужно. Поэтому когда подаете заявление, указывайте те виды СЗИ, с которыми вы будете работать. Для получения лицензии на работы по программным (программно-техническим) СЗИ контрольно-измерительное оборудование не требуется.
Олег, хотите сказать если заняться исключительно документацией и установкой настройкой СЗИ, таких как МЭ, СЗИ от НСД, Антивир, ну естественно там где обоснованно только это нужно,то покупать оборудование для специсследований за получением лицензии не нужно?
Сможем ли тогда выдавать аттестат соответствия требования безопасности информации? Почему то всегда думал что Лицензия не делимо охватывает всю ТЗКИ, потому и нужно иметь все оборудование.
А по поводу аренды, а если у производителя берется из другого города?)
Олег, это ваше предположение или проверенный в последний месяц факт?
Это факт, проверенный лицензированием по новому постановлению.
Не хочу давать утвердительных рекомендаций, потому что не являюсь представителем ФСТЭК.
Лучше конкретные вопросы, тем более по аттестации и географической распределенности адресовать отделу лицензирования, как мне показалось, они готовы дать на них конкретные ответы.
Олег, в каком Управлении ФСТЭК проводилось лицензирование?
2West
у фстэка все лицензирование через мск
>Раз я оборудование сдал в аренду, то у меня его нет
Алексей, а разве есть какие то нормы, что у одного юрлица может быть только один комплект оборудования?
Если нет то логика не прослеживается - я могу одним комплектом пользоваться, второй сдавать в аренду.
Если компания богатая и держит несколько комплектов оборудования, то нет проблем.
Мда, хотелось бы получить комментарий у представителей ФСТЭК по поводу комментария Олега. но что-то у них сегодня с телефоном, а у девушки которая отвечает на вопросы по лицензированию ТЗКИ нет интернета....(задавал вопросы по новой форме заявления на ТЗКИ, которая в регламенте, на сайте ФСТЭК) Как они там, бедные, в Москве существуют...
По поводу оборудования - да нет проблем, вот только они(регуляторы) организуют проверку арендодателя и если оборудования не окажется, то получится нехорошо...
почему не окажется?
как я выше писал, можно же по запросу давать (на день например).
А договора аренды тоже каждый день оформлять?
неа, договор аренды заключается например на год, прописываются перечень оборудования и условия оплаты, ну там абонентка или стоимость часа/суток использования, период оплаты и указывается что расчет производится по факту, например, в конце каждого месяца, или после возвращения в течение недели и т.д.
//я ведь не иду в офис опсоса для заключения договора каждый раз когда хочу совершить звонок.
Нууу.. ФСТЭК по телефону подтвердили правильность слов Олега. Подадим заявку, а там видно будет... Нетривиально однако...
Собственно как и всегда при общении с нашими регуляторами. Много слухов и решений "в частном порядке"
в общем да,
действительно щас аренда по запросу не проходит.
видимо поставлена задача повысить продажи спектроанализаторов и аксессуаров к ним.
Post a Comment