Упомянутый позавчера стартап по ИБ направлял вопросы не только в Минкомсвязь, но и в ФСТЭК России. И вот на днях был получен оттуда ответ, который, на мой взгляд, гораздо более адекватный и взвешенный, чем у ИТ-регулятора. Это не отписка, а ответ по существу.
На вопрос, каким требованиям должно соответствовать облачное решение по ИБ, ФСТЭК ответила, что нужна лицензия на деятельность по технической защите конфиденциальной информации. Не могу сказать, что это ново, но по крайней мере у ИБ-стартап появилась ясность относительно тех обременений, которые повлечет за собой запуск облачного ИБ-сервиса.
Ни действующие, ни новые требования к лицензиатам ФСТЭК, не будут дифференцированными и учитывать масштаб бизнеса лицензиата. Что стартап с двумя сотрудниками, что интегратор с 2-мя тысячами сотрудников - требования едины. Не очень позитивная новость для стартапов, относящихся к малым или микро-предприятиям.
Но зато не требуется контрольно-измерительное оборудования :-)
Еще одна засада для стартапа - место осуществления лицензируемых видов деятельности. На квартире или в собственном доме это не допускается.
Последний вопрос касался возможности использования open source решений при создании облачного сервиса по ИБ, который планировалось затем сертифицировать/аттестовывать. Тут ФСТЭК похоже с этим еще не сталкивалась, судя по тому, что они говорят о наличии договора (если только GNU License рассматривать как оферту), гарантиях качества, наличия консультаций и техподдержки.
Вот такой ответ от ФСТЭК. Четко, по делу, но не всегда позитивно :-( Но таковы уж реалии нашего рынка. Посторонних в ИБ становится все меньше и меньше, ибо национальная безопасность под угрозой. Скоро введут новые требования к ИБ-аудиторам и пентестерам и жизнь станет совсем веселой...
На вопрос, каким требованиям должно соответствовать облачное решение по ИБ, ФСТЭК ответила, что нужна лицензия на деятельность по технической защите конфиденциальной информации. Не могу сказать, что это ново, но по крайней мере у ИБ-стартап появилась ясность относительно тех обременений, которые повлечет за собой запуск облачного ИБ-сервиса.
Следующий вопрос был связан с тем, что облачный провайдер привлекает для ряда работ внешних подрядчиков, которым передаются ПДн для обработки или хранения. Стартап спрашивал - нужна ли привлекаемой организации лицензия ФСТЭК на ТЗКИ. Нужна!
Но зато не требуется контрольно-измерительное оборудования :-)
Еще одна засада для стартапа - место осуществления лицензируемых видов деятельности. На квартире или в собственном доме это не допускается.
Последний вопрос касался возможности использования open source решений при создании облачного сервиса по ИБ, который планировалось затем сертифицировать/аттестовывать. Тут ФСТЭК похоже с этим еще не сталкивалась, судя по тому, что они говорят о наличии договора (если только GNU License рассматривать как оферту), гарантиях качества, наличия консультаций и техподдержки.
Алексей, а что за "стартап по ИБ"? О нем ничего не сказано, какое у них направление деятельности? Не зная сути запроса сложно понять, на что получен ответ, и как его можно применить в повседневной деятельности безопаснику на службе в коммерческой организации.
ОтветитьУдалитьУ меня сложилось впечатление, что стартап создан исключительно с целью рассылки запросов в "органы" и публикации ответов из "органов".
Стартап занимается облачным ИБ-сервисом
ОтветитьУдалитьВот "облачным ИБ-сервисом" это что? Они обрабатывают в облаке чью-то конфиденциальную информацию, или предоставляют услуги по защите информации в облаке. Или делают что-то типа SIEM в облаке.
ОтветитьУдалитьВ последнем случае им никакие лицензии не нужны.
И предоставляют услуги и обрабатывают чужие данные
ОтветитьУдалитьИнтересно, а в других странах, т.н. партнерах наших, там что стартап в 2 человека, "занимающийся ИБ" может так легко попасть в список того, что имеют право закупать госорганы?
ОтветитьУдалитьНадо различать место разработки софта (лицензия на РСЗИ) и место обработки конфиденциальной информации (лицензия на ТЗКИ). Разрабатывать софт можно и дома на самом деле (и не проверят), просто получив лицензию на какой-то адрес, удовлетворяющий требованиям ФСТЭК. А вот ЦОД, где будет облачный сервис функционировать - это точно не квартира.
ОтветитьУдалитьСергей, да, вполне может
ОтветитьУдалитьЭто называется: "Почувствуй себя создателем Lego, когда собрал домик из Lego". Просматривается чёткая подмена понятий "РСЗИ" и "ТЗКИ".
ОтветитьУдалитьКуча организаций имеет ИТ-отдел ввиде отдельного юр. лица. Теперь что ли "Всем ТЗКИ!!! Налетай, подешевело!!!"?! А потом "ФСТЭК очень занят, ждите ответа"... Никому не лучше от этого письма...