Что-то в последнее время я часто пишу про лицензирование ТЗКИ. Но так уж сложилось, что постоянно какие-то новые факты всплывают. Вот тут на днях ФСТЭК выложила на сайте перечень документов, необходимых для получения лицензии на деятельность по ТЗКИ. И есть там такой пункт: "документы, содержащие сведения о наличии контрольно-измерительного, производственного и испытательного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемого вида деятельности, с приложением копий документов о поверке (калибровке) и маркировании контрольно-измерительного оборудования, а также документов, подтверждающих права соискателя лицензии на использование указанного оборудования, средств защиты информации и средств контроля защищенности информации".
В целом ничего крамольного. Такого добра на рынке немало. Но... пара препятствий все-таки имеется. Как поступали раньше многие компании, желающие получить лицензию, но не желающие платить за это самое контрольно-измерительное оборудование? Брали его в аренду. По документам оно как бы было, а на самом деле оставалось у арендодателя. И вот стали поступать сигналы от разных компаний, что ситуация поменялась. Если раньше ФСТЭК скволь пальцы смотрела на аренду оборудования, то сейчас она требует иметь это оборудование в собственности. В противном случае, лицензия выданное арендодателю, считается приостановленной. С точки зрения логики оно правильно. Раз я оборудование сдал в аренду, то у меня его нет, а значит лицензионные условия не выполняются. Т.е. лицензия должна быть приостановлена. В итоге взять в аренду такое оборудование становится все сложнее и сложнее.
Остается его приобрести. И вот тут возникает второе препятствие. Стоимость такого оборудования составляет, по разным оценкам, от 2-х до 3-х миллионов (!) рублей. Хотя стоимость самой лицензии по-прежнему составляет всего несколько сотен рублей. Вот такие пироги.
Вообще после смены директора ФСТЭК в прошлом мае, регулятор сильно поменялся. От былой либерализации следов остается все меньше и меньше. И требования по сертификации меняются (хотя сами документы не трогали). И требования по лицензии поменялись. И позиция по лицензированию стала более жесткой. И по проверкам тоже ситуация сдвигается. Было негласное правило, что ФСТЭК, ФСБ и РКН друг друга не проверяют по линии ПДн. А тут на днях оказывается, что ФСТЭК решил проверить одно из управлений РКН по части защиты ПДн! А ведь еще даже не весна ;-)
Интересно, в области экспортного контроля они также лютуют?
В целом ничего крамольного. Такого добра на рынке немало. Но... пара препятствий все-таки имеется. Как поступали раньше многие компании, желающие получить лицензию, но не желающие платить за это самое контрольно-измерительное оборудование? Брали его в аренду. По документам оно как бы было, а на самом деле оставалось у арендодателя. И вот стали поступать сигналы от разных компаний, что ситуация поменялась. Если раньше ФСТЭК скволь пальцы смотрела на аренду оборудования, то сейчас она требует иметь это оборудование в собственности. В противном случае, лицензия выданное арендодателю, считается приостановленной. С точки зрения логики оно правильно. Раз я оборудование сдал в аренду, то у меня его нет, а значит лицензионные условия не выполняются. Т.е. лицензия должна быть приостановлена. В итоге взять в аренду такое оборудование становится все сложнее и сложнее.
Остается его приобрести. И вот тут возникает второе препятствие. Стоимость такого оборудования составляет, по разным оценкам, от 2-х до 3-х миллионов (!) рублей. Хотя стоимость самой лицензии по-прежнему составляет всего несколько сотен рублей. Вот такие пироги.
Вообще после смены директора ФСТЭК в прошлом мае, регулятор сильно поменялся. От былой либерализации следов остается все меньше и меньше. И требования по сертификации меняются (хотя сами документы не трогали). И требования по лицензии поменялись. И позиция по лицензированию стала более жесткой. И по проверкам тоже ситуация сдвигается. Было негласное правило, что ФСТЭК, ФСБ и РКН друг друга не проверяют по линии ПДн. А тут на днях оказывается, что ФСТЭК решил проверить одно из управлений РКН по части защиты ПДн! А ведь еще даже не весна ;-)
Интересно, в области экспортного контроля они также лютуют?
Этот комментарий был удален автором.
ОтветитьУдалитьА действительно придется переоформлять. Старые лицензии прекращают действие либо по окончании срока, либо как у вас - смена названия организации. Если бы виды деятельности по ТЗКИ не изменились, то переоформлять было бы не надо, а так наименование деятельности в лицензии должно соответствовать 79ПП.
ОтветитьУдалитьТеперь ремарка по поводу проверок. Проекты ПП по уровням защищенности и требованиям готовит ФСБ. Интересно, участвует в этом ФСТЭК? Ведь проверять соответствие этим требованиям будут они.
Все участвуют. И проверять будет не только ФСТЭК, но и ФСБ.
ОтветитьУдалитьСамый бюджетный комплект контрольно-измерительного оборудования можно взять за 700-800 тыс. рублей, но это все равно много, конечно.
ОтветитьУдалитьС арендой не так все плохо (в крайнем случае в прошлом году было) - лютуют, если арендатор и арендодатель в разных городах.
Если в одном городе, то ФСТЭК только контролирует, чтобы это оборудование не было в аренде у кучи организаций.
А если фактический адрес деятельности меняется, то тоже ведь менять бланк надо...
ОтветитьУдалить"С точки зрения логики оно правильно. Раз я оборудование сдал в аренду, то у меня его нет, а значит лицензионные условия не выполняются."
ОтветитьУдалитьну это в частном случае, а не в общем.
оборудование не используется ведь во всех конторах 24/7.
понадобилось провести замеры - взял на день по запросу, потом вернул.
Алексей, насколько понимаю лицензия на ТЗКИ теперь дифференцирована по направлениям деятельности. Для лицензии на защиту тех же ПДн измерительные комплексы не потребуются.
ОтветитьУдалитьПосмотрите постановление внимательно. Там написано: "наличие на праве собственности или на ином законном основании контрольно-измерительного оборудования (прошедшего в соответствии с "законодательством" Российской Федерации метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования, соответствующего требованиям по техническим характеристикам и параметрам, устанавливаемым Федеральной службой по техническому и экспортному контролю (при выполнении работ и (или) оказании услуг, предусмотренных подпунктами "а", "в", "г" и "е" пункта 4 настоящего Положения)".
ОтветитьУдалитьА пункт "е" как раз и говорит об установке средств защиты информации.
Пункт "е" содержит в себе 6 видов средств, 3 из которых со словом "технические" имеют отношения к техническим каналам утечки, 3 - с фразой "программные (программно-технические)" к ИТ-безопасности.
ОтветитьУдалитьВыбираете то, что вам нужно.
А разве договор аренды не является разновидностью "наличия на праве собственности или на ином законном основании ...". То есть в чем проблема с точки зрения регулятора, что лицензиат не покупает оборудования, а владеет им на "ином законном основании" (аренда)?
ОтветитьУдалитьМегафону
ОтветитьУдалитьДля защиты ПДн не требуются, а вот для Аттестации тех же ИСПДн, которая выделена в отдельный вид деятельности, даже если угроза ПЭМИН не актуальна, оборудование нужно. А это уже огорчает.
Хотя, получается, и для установки СЗИ требуется... Так что - без вариантов теперь.
ОтветитьУдалитьДоговор аренды является... Только арендуя, арендодатель теряет на это время право заниматься лицензионной деятельностью
ОтветитьУдалитьМожет недостаточно ясно высказал свои мысли:
ОтветитьУдалить"Пункт "е" содержит в себе 6 видов средств, 3 из которых со словом "технические" имеют отношения к техническим каналам утечки, 3 - с фразой "программные (программно-технические)" к ИТ-безопасности.
Выбираете то, что вам нужно."
Добавлю. Для установки СЗИ, таких МЭ, СЗИ от НСД, АВЗ и тому подобное, что привычно относится к ИТ-безопасности, контрольно-измерительное оборудование не нужно. Поэтому когда подаете заявление, указывайте те виды СЗИ, с которыми вы будете работать. Для получения лицензии на работы по программным (программно-техническим) СЗИ контрольно-измерительное оборудование не требуется.
Олег, хотите сказать если заняться исключительно документацией и установкой настройкой СЗИ, таких как МЭ, СЗИ от НСД, Антивир, ну естественно там где обоснованно только это нужно,то покупать оборудование для специсследований за получением лицензии не нужно?
ОтветитьУдалитьСможем ли тогда выдавать аттестат соответствия требования безопасности информации? Почему то всегда думал что Лицензия не делимо охватывает всю ТЗКИ, потому и нужно иметь все оборудование.
А по поводу аренды, а если у производителя берется из другого города?)
Олег, это ваше предположение или проверенный в последний месяц факт?
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьЭто факт, проверенный лицензированием по новому постановлению.
ОтветитьУдалитьНе хочу давать утвердительных рекомендаций, потому что не являюсь представителем ФСТЭК.
Лучше конкретные вопросы, тем более по аттестации и географической распределенности адресовать отделу лицензирования, как мне показалось, они готовы дать на них конкретные ответы.
Олег, в каком Управлении ФСТЭК проводилось лицензирование?
ОтветитьУдалить2West
ОтветитьУдалитьу фстэка все лицензирование через мск
>Раз я оборудование сдал в аренду, то у меня его нет
ОтветитьУдалитьАлексей, а разве есть какие то нормы, что у одного юрлица может быть только один комплект оборудования?
Если нет то логика не прослеживается - я могу одним комплектом пользоваться, второй сдавать в аренду.
Если компания богатая и держит несколько комплектов оборудования, то нет проблем.
ОтветитьУдалитьМда, хотелось бы получить комментарий у представителей ФСТЭК по поводу комментария Олега. но что-то у них сегодня с телефоном, а у девушки которая отвечает на вопросы по лицензированию ТЗКИ нет интернета....(задавал вопросы по новой форме заявления на ТЗКИ, которая в регламенте, на сайте ФСТЭК) Как они там, бедные, в Москве существуют...
ОтветитьУдалитьПо поводу оборудования - да нет проблем, вот только они(регуляторы) организуют проверку арендодателя и если оборудования не окажется, то получится нехорошо...
почему не окажется?
ОтветитьУдалитькак я выше писал, можно же по запросу давать (на день например).
А договора аренды тоже каждый день оформлять?
ОтветитьУдалитьнеа, договор аренды заключается например на год, прописываются перечень оборудования и условия оплаты, ну там абонентка или стоимость часа/суток использования, период оплаты и указывается что расчет производится по факту, например, в конце каждого месяца, или после возвращения в течение недели и т.д.
ОтветитьУдалить//я ведь не иду в офис опсоса для заключения договора каждый раз когда хочу совершить звонок.
Нууу.. ФСТЭК по телефону подтвердили правильность слов Олега. Подадим заявку, а там видно будет... Нетривиально однако...
ОтветитьУдалитьСобственно как и всегда при общении с нашими регуляторами. Много слухов и решений "в частном порядке"
ОтветитьУдалитьв общем да,
ОтветитьУдалитьдействительно щас аренда по запросу не проходит.
видимо поставлена задача повысить продажи спектроанализаторов и аксессуаров к ним.