четверг, 28 апреля 2011 г.

Совет Федерации одобрил закон "О лицензировании отдельных видов деятельности"

Совет Федерации одобрил закон "О лицензировании отдельных видов деятельности". Документом предлагается отменить лицензирование ряда видов деятельности с одновременным введением уведомительного порядка начала предпринимательской деятельности по этим направлениям. Взято с сайта RBC. Сам законопроект можно скачать на сайте госдумы здесь.

Очень интересно об этом законопроекте уже высказался Алексей Волков в своем блоге. Вот все же не могу я понять, почему отменяется деятельность по обеспечению авиационной безопасности, а требования по лицензированию технической защиты конфиденциальной информации или разработки и производству средств защиты конфиденциальной информации упорно сохраняются в этих документах.

Мое мнение - это поражение (путь маленькое но все же) современной власти, которая твердит о модернизации.

И даже пункт 4 статьи 8 (о котором упоминает Алексей в своем блоге), гласящий:

К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, а также требования к конкретным видам и объему выпускаемой или планируемой к выпуску продукции.

на самом деле при скурпулезном анализе говорит лишь о том, что в перечень требований на получение лицензии не могут быть включены требования о соблюдении законодательства. К сожалению этот пункт никак не отвечает на вопрос "надо или не надо получать лицензию на ТЗКИ".

.... ну в общем к сожалению этот вопрос остался нерешенным и в ближайшее время не стоит ожидать изменения закона :(

Обновление: 6 мая текст закона был опубликован в российской газете. Закон вступает в силу через 180 дней после опубликования.

56 комментариев:

  1. ".... ну в общем к сожалению этот вопрос остался нерешенным и в ближайшее время не стоит ожидать изменения закона :("

    Статья 12.
    2. Положениями о лицензировании конкретных видов деятельности устанавливаются исчерпывающие перечни выполняемых работ, оказываемых услуг, составляющих лицензируемый вид деятельности.

    ОтветитьУдалить
  2. Это да, НО сейчас это положение выглядит вот так:

    http://www.fstec.ru/_docs/doc_2_2_032.htm

    И нет никаких оснований полагать, что оно претерпит изменения, а в этом положении в самом начале:

    Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа

    и самое главное в этой фразе "комплекс мероприятий", поэтому не исключено что под этим ФСТЭК будет по прежнему понимать в том числе обслуживание средств. защиты информации сотрудниками юр.лица для собственных нужд.

    Что такого вообще в этой деятельности, что ее надо лицензировать ?? Ну с шифрованием еще куда ни шло, хотя тоже спорно, но это.....

    ОтветитьУдалить
  3. > Что такого вообще в этой деятельности, что ее надо лицензировать

    Все просто - есть рудиментарный орган, которому нужно как-то оправдывать свое существование. ПИ так будет пока эволюция не заставит его отмереть. Ну а про то, что такое "деятельность", уже немало копий поломано...

    ОтветитьУдалить
  4. > Это да, НО сейчас это положение выглядит вот так:
    > http://www.fstec.ru/_docs/doc_2_2_032.htm

    Ну вот видите, дело то совсем и не в законе оказывается.

    В каком месте это чье-то поражение тоже не ясно. Кто с кем борется?
    Вы что, правда считаете, что деятельность по защите информации не должна быть лицензируемым видом деятельности? Можете обосновать?

    ОтветитьУдалить
  5. "Вы что, правда считаете, что деятельность по защите информации не должна быть лицензируемым видом деятельности? Можете обосновать?"

    Могу !
    Есть пастух Емеля и он хорошо защищает чужих овец!
    Есть купец Фома и он ПО ДОГОВОРУ отдает Емеле пасти своих овец!
    Аналогию просматриваете ?
    Так вот в очень многих отношениях лицензия извините нахрен не сдалась...
    Она нужна для защиты гостайны и т.п.
    Лицензия кажется заменяет оценку Исполнителя ? Так вот это не работает... по гостайне пожалуйста. А на рынке должны играть преймущества, независимые оценки, опыт и это дает рынок и это не заменить лицензионными требованиями...

    ОтветитьУдалить
  6. Есть еще один ньюанс, я глубоко убеждет что безопасность должна стать неотъемлемой частью ИТ-сервиса и сейчас все к этому идет. Вот вы когда автомобиль покупаете, вы же не покупаете на него потом отдельно подушки безопасности, ремни и проч. вы покупаете автомобиль, а безопасность один из аспектов, который в том числе влияет на ваш выбор. В ИТ все должно быть также, вы покупаете сервис и получаете к нему в дополнение безопасность (шифрование, контроль доступа и проч.). А сейчас получается, что если вы, например, разработчик АБС, то будьте добры лицензироваться по ТЗКИ, с какой стати ? Или если вы сервис-провайдер, обслуживаете ИТ-инфраструктуру (и в том числе отвечаете за некоторые аспекты безопасности) - будьте добры лицензироваться. Для чего ? Какую проблему это решает ? Как было сказано в комментариях выше, рынок сам лучше любого лицензирования отсеет плохие компании. А чтоб лицензию получить нужно всего лишь иметь определенную сумму денег и это никак не будет влиять на конечный продукт, выпускаемый компанией-лицензиатом.

    ОтветитьУдалить
  7. "Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа"

    вообще-то это не одно и то же что "исчерпывающий перечень работ"

    и самое главное в этой фразе "комплекс мероприятий", поэтому не исключено что под этим ФСТЭК будет по прежнему понимать в том числе обслуживание средств. защиты информации сотрудниками юр.лица для собственных нужд.

    мероприятия - что это вообще? такого вроде нет термина в законодательстве РФ. мероприятия - это работы или услуги или что это?

    ОтветитьУдалить
  8. Евгению

    > Есть пастух Емеля и он хорошо защищает чужих овец!

    И так, есть некоторая компания Июнь (Июль или Август - не важно, главное что месяц летний), которая ворует пшеницу, которая в темном чулане храниться.

    Есть больница, в которую ловко проникла синица, с целью поживиться пшеницей.

    Больница не знает может ли она доверить синице охранять свою пшеницу. У синицы красивый сайт, на котором красивые значки разных ведомств, много страшных слов про СТО, комлаенс и крупные проекты. А за сайтом безграмотный менеджмент, нехватка исполнителей, а те что есть не знают стандартов и знать не хотят, так как ловко воруют пшеницу которая в разных других чуланах храниться. И обвинить нам синицу не в чем и нельзя, так как птичка небесная, не сеет не жнет, а кормиться. А покормить синицу каждый распильщик готов за пару мешков из чужих закромов.

    Но вот, ловко пробравшись в больницу, делает чудо проект наша птица. Но странно: ведь сделать проект для больницы не так-то легко, понять на сколько надежен проект и система не может никто - ни хозяин пшеницы, ни пациенты печально известной больницы. Но вот наступает момент проверки на прочность амбара с пшеницей, где ловко орудуют крысы больничные. И падает к чертовой бабушке вся нагороженная из цветного картона система защиты амбара, уходит тоннами из него чужая пшеница, лежит в мертвую система управления больницей, лежат мертвые в интенсивке бывшие больные, не получившие вовремя доли пшеницы, которую не уберегла больница, работая по проекту синицы.

    Но руки умыла наша синица, сделав проект, отдала все больнице, повесив ответственность на некомпетентность больницы, которая не справилась с системой охраны пшеницы.

    А наши доблестные СМИ и не вспомнят про то что когда-то была тут синица, что делала она проект для охраны пшеницы, которая в темном больничном чулане храниться. А если и вспомнят, то тут же забудут за пару мешков запасенной пшеницы, которую ловко ворует синица. И тут же синица устроит банкет, организовано вывезет разных чинов в какой-нибудь Магнитогорск побухать и покататься на лыжах. Где будет рассказывать как на самом деле классно она охраняет пшеницу.

    А кто узнает про некий проект по информационной безопасности? Да никто не узнает, потому что никому не выгодно раскрывать информацию об инцидентах. Потому что в первую очередь бьют по шапке эксплуатанту, мол не смог оценить компетентность синицы. Поэтому молча все сидят: кто судорожно замазывает шпаклевкой разбитое корыто чтобы никто не увидел и не заметил, а кто-то распускает перья в Магнитогорске. И НИКТО не вспомнит про проект, потому что это вопросы БЕЗОПАСНОСТИ, а реальные проблемы безопасности публично не обсуждают.

    И как же теперь оценить компетентность синицы, чтобы ее допустить до пшеницы, что в темном больничном чулане храниться?

    ОтветитьУдалить
  9. Артем, браво... вот это текст :) Только вот поверьте наличие лицензии никак не спасает от выполнения некомпетентной работы. Более того, наличие лицензии не говорит о том, что в штате есть люди, которые разбираются, например, в СТО БР или безопасности виртуализации. Для того, чтобы получить лицензию специалистов соискателя обучают на курсах, согласованных ФСТЭК. Знаете что там преподают ?

    ОтветитьУдалить
  10. Знаю что преподают на курсах, прекрасно знаю как получается лицензия, знаю как работают лицензиаты и знаю, что система лицензирования в нынешнем виде работает весьма хреново. Имел и продолжаю получать в настоящий момент горький опыт. НО Разве это дает Вам право утверждать, что система лицензирования деятельности по защите информации должна быть упразднена? У нас суды тоже плохо работают, что же давайте уберем суды? Что за логика? На чем основаны Ваши утверждения, кроме того, что все "татары кроме я", ФСТЭК безграмотен, а я д'Артаньян?
    Это крайне безответственная риторика, а Вас читают студентики - вот чего бойся-то!

    ОтветитьУдалить
  11. Артем, мой вопрос о необходимости сохранения лицензирования связан с тем, что в этом законопроекте упразднили 17 (!) видов лицензий, и в этой ситуации остается вопрос, что же такого особенного в деятельности по ТЗКИ ? По поводу безграмотности ФСТЭК я никогда не писал, но если быть объективным в любой стране (любой !) государственные органы реагируют медленее на новации, вот поэтому, например в Америке требования документов, выпущенных институтом NIST, который работет не в пример более продуктивнее наших аналогичных институтов, обязательны только (!) для государственных организаций, а коммерческие действуют самостоятельно. Я говорю о том, что лицензирование никак не решает никаких проблем.... ее нужно либо отменять либо менять на другой механизм.... аналогия с плохими судами на мой взгляд здесь не совсем корректна.

    ОтветитьУдалить
  12. Лицензии во всех сферах деятельности по ЗИ не нужны и избыточны. Никто не спорит, что для каких то направлений должны быть.
    Но там где они действительно избыточны они даже вредят рынку ИБ.
    Лицензия ничего потребителю не дает! Сколько знаю лицензиатов, которые совершенно некомпетентны !
    Получившие лицензию часто расслабляются до нельзя... ну и т.п.

    ОтветитьУдалить
  13. А Вы нас с Америкой не сравнивайте, там простые граждане сами как грелку порвут кого хочешь в суде, который работает, а система стандартизации по-жестче чем у нас будет, особенно в здравоохранении и информатизации здравоохранения в частности. У нас разные страны, разное население, разная культура и, следовательно, разные средства государственного управления и контроля должны быть, не правда ли?

    17 видов лицензий? А какое отношение они имеют к деятельности по защите информации? Никакое? Странный аргумент, не правда ли?

    > По поводу безграмотности ФСТЭК я никогда не писал

    Писали: "...обучают на курсах, согласованных ФСТЭК"

    Лицензирование в той форме в которой оно у нас есть, решает хоть какие-то проблемы. Лицензиаты хотя бы думаю входя в рынок, что существует потенциальная возможность отзыва лицензии и контроля со стороны ФСТЭК и относятся ответственнее. Я тоже знаю лицензиатов, которые некомпетентны, пока не компетентны, потому что некому было их этой компетенции научить и набраться. Была разорвана связь с советской школой и опыт получить негде, но они получают! Это проблема не системы лицензирования!!

    > Лицензии во всех сферах деятельности по ЗИ не нужны и избыточны. Никто не спорит, что для каких то направлений должны быть.

    Кто-то по-видимому спорит, иначе я бы тут не разорялся. Просто нужно грамотно очертить границы. Граница гостайна/негостайна не годится, это я и хотел показать постом про синицу.

    ОтветитьУдалить
  14. Писали: "...обучают на курсах, согласованных ФСТЭК"

    Это не означает что они безграмотные. Я здесь хотел сказать, что он не покрывают всех современных вопросов защиты информации и не отражают наличие необходимой компетенции у специалиста (как впрочем и любые другие курсы).

    ОтветитьУдалить
  15. "разные средства государственного управления и контроля должны быть, не правда ли?" - не убедительно !

    "Лицензирование в той форме в которой оно у нас есть, решает хоть какие-то проблемы." - какие пример ?!

    "Просто нужно грамотно очертить границы." - давайте очертим...
    Например если Вы занялись установкой и настройкой антивируса - зачем вам Агилент за полтора миллиона и 2 обученных инженера радиофизика с кучей курсов ?

    А гостайна и негостайна - разделение базовое !
    Государство не должно избыточно вмешиваться.

    ОтветитьУдалить
  16. Спорите, спорите.... "Суровость законов компенсируется необязательностью их исполнения". Какая разница, что написано в законе, если регуляторы не удосуживаются давать официальные разъяснения? что толку сотрясать воздух? А по теме: лучше, чтобы ОКАЗАНИЕ услуг по защите информации было лицензируемым, это упростит контроль и все-таки сможет повысить ответственность и качество соответственно. ИМХО.

    ОтветитьУдалить
  17. По факту не повышает качество...
    Приведите пример отзыва лицензии по причине плохого качества ? или любой приведите!
    Даже невыполнение договора между Заказчиком и лицензиатом-Исполнителем заканчивается закрытием договора но не отзывом лицензии.
    Правильно выбранный Исполнитель и хороший договор играют большую роль.

    ОтветитьУдалить
  18. Этот комментарий был удален автором.

    ОтветитьУдалить
  19. Коллеги. Лицензия - это норма государственного регулирования, и применяется она там, где никаким другим способом отрегулировать регулируемый вопрос нельзя. И если уж авиационную безопасность можно отрегулировать иным способом (а это людские жизни) - то чего уж говорить о спорных вопросах, связанных с некомпетентностью аутсорсера! Или мало фуфловых аутсорсеров с лицензией? А для чего она еще нужна?

    ОтветитьУдалить
  20. Лицензия важна там, где невозможно нарушителю покрыть убытки. Поэтому до того, как допустить к какой то деятельности нужен барьер при котором исполнитель проверяется на то, что он действительно умеет делать и т.п.
    Например водитель пассажирского автобуса - должен получить права. Потому что есть непокрываемый риск человеческим жизням. Но дачнику для посадки картошки на даче наверное лицензия на земельные работы не нужна хотя он может вместо картошки посадить ядовитой гадости.

    В первом случае - общество "договорилось" что так надо. Во втором случае обществу пофигу что он там у себя растит пока это касается только его.

    В области ИБ лицензируемые виды деятельности должны сужаться. Для открытого рынка должны заработать рыночные механизмы.

    ОтветитьУдалить
  21. > "разные средства государственного управления и контроля должны быть, не правда ли?" - не убедительно!

    А как еще? Другой объект - другая система управления. В чужой монастырь со своим уставом не ходят.

    > "Просто нужно грамотно очертить границы." - давайте очертим...

    Были попытки, абзац про приказ трех.

    > Государство не должно избыточно вмешиваться.

    Дело во все тех же границах.

    Я хочу подчеркнуть, то что как-то выпало за пределы обсуждения: в первоначальном посте и далее звучала идея отмены лицензирования деятельности по ТЗКИ на уровне федерального закона. Ни в коем случае не защищаю профильное ПП 504. Оно косячное, глубоко косячное, но дело не в наличии системы лицензирования как таковой и не в федеральном законе!

    > Правильно выбранный Исполнитель и хороший договор играют большую роль.

    Все в том же посте про синицу, как выбрать исполнителя в той сфере в которой ты не компетентен? При условии что рынок по факту закрыт и не может быть открытым по своей сути. О безопасности не треплются ни пострадавшие, ни исполнители, вообще никто. На рынке нет объективной информации.
    Даже сейчас наличие лицензии - это хоть какая-то гарантия, что исполнитель как-то связан с отраслью и имеет представление о рынке на котором работает, а не просто хрен с бугра.

    Авиационная безопасность это совершенно другой рынок!!! Как вы вообще можете сравнивать эти вещи, что за демагогия!

    P.S. Только у меня посты исчезают и опенID глючит?

    ОтветитьУдалить
  22. "как выбрать исполнителя в той сфере в которой ты не компетентен?"

    Если в чем то не компетентен - обратись к специалистам. Если не можешь найти специалиста - найми тех кто найдет специалиста. Если и этого не можешь - займись чем то другим!

    ОтветитьУдалить
  23. Государство не справится с ранжированием и оценкой продукции и поставщиков услуг в области ИБ. Потому что не справляется и не нужно этого делать государству. Сообщество должно дозреть до рыночных механизмов. Например добровольные оценки, добровольные системы сертификации и другие формы.

    ОтветитьУдалить
  24. "Все в том же посте про синицу, как выбрать исполнителя в той сфере в которой ты не компетентен?"

    какие компетенции подтверждаются лицензией на тзки? как узнать, что может делать контора с такой лицензией?

    ОтветитьУдалить
  25. > Если в чем то не компетентен - обратись к специалистам.

    О_о к каким специалистам? К лицензиатам? К тем у кого на лбу написано "специалист" или на сайте? К тем, кто прошел аккредитацию? Какую аккредитацию? Уж не лицензионные ли механизмы напоминает эта модель? Или какую? Кто скажет главврачу больницы, что вот эти специалисты, а вот эти нет? Не реестр ли ФСТЭКа? Или чей реестр? Вы хотите отдать этот реестр в частные руки или как? Может этим займутся наши товарищи из АРСИБ? А у них есть на это полномочия полученные от населения страны? Они легитимны?

    С самого зарождения государства как общественного института общество делегировало ему обеспечение безопасности - в этом весь смысл государства! Только государство уполномочено защищать, применять силу, обеспечивать безопасность!

    А вот чего добиваются коммерческие структуры - это далеко не безопасность страны, а тупо коммерческая выгода - и это совершенно естественное разделение труда.

    > как узнать, что может делать контора с такой лицензией?

    Посмотреть в профильное постановление правительства, № 504 если мне не изменяет память. Там написано. А дело ФСТЭК проверить компетенцию и не надо здесь опять поднимать вопрос о том, делает или не делает этого ФСТЭК - это не проблемы системы лицензирования как таковой.

    У безопасности НЕТ И БЫТЬ НЕ МОЖЕТ РЫНОЧНЫХ МЕХАНИЗМОВ. Этот дискурс здесь не применим. Безопасность не продается!

    ОтветитьУдалить
  26. > Безопасность не продается!

    Это о какой-то конкретной категории идет речь или о любой безопасности в принципе?

    ОтветитьУдалить
  27. Вы же все работаете в интеграторах (извиняюсь, кто не работает), и вы отлично знаете, что рынка НЕТ, что цены берутся с потолка и предсказать проекта абсолютно нереально. Давайте при этом уберем еще требование по лицензированию и вы получите столько консультантов с демпинговыми ценами, что взвоете о пощаде! :-)

    ОтветитьУдалить
  28. "предсказать РЕЗУЛЬТАТ проекта нереально".

    ОтветитьУдалить
  29. "Посмотреть в профильное постановление правительства, № 504 если мне не изменяет память. Там написано."

    там написано про сферического коня в вакууме.
    что за комплекс мероприятий по защите информации от несанкционированного доступа? может это флешка в железном сундуке и бабушка с ружьем на вахте, а может это защита общедоступного высоконагруженного ресурса с доступностью 99,99%.
    я вот чето не уверен, что ЛЮБОЙ лицензиат выполнит ЛЮБУЮ работу в области ИБ.
    поэтому сама по себе лицензия ничего не значит.

    ОтветитьУдалить
  30. > предсказать РЕЗУЛЬТАТ проекта нереально

    Я не работаю в интеграторе, я работаю с ними. И могу совершенно точно сказать, что предсказать результат абсолютно реально, если заказчик проекта четко понимает, что он хочет получить.

    В каждой компании есть кадровик, главбух или гендиректор. Иногда что-то отдают на аутсорсинг, например - бухгалтерию. Но для того, чтобы не сесть самому, руководитель должен как-то контролировать бухгалтера, а значит - разбираться в вопросе. С ИБ точно так же.

    Более того, если даже взять на работу собственного специалиста по ИБ - еще далеко не факт, что это принесет желаемый результат. А ведь это система государственного образования. И что делать работодателю в этом случае? Правильно - искать другого специалиста, с таким же госдипломом.

    То же самое и про лицензии.

    ИМХО - лицензирование деятельности - нужнО, но только для того, чтобы хоть чуть-чуть избавить рынок от проходимцев (порядок их выдачи - другой вопрос). Для интеграторов или аутсорсеров. С лицензией государственного образца. Их и нужно привлекать коммерсу. Второй вариант - взять спеца с дипломом государственного образца. Оптимально - и то, и другое.

    Ну а результат работы ни от дипломов, ни от лицензий практически не зависит. Все определяет человеческий фактор.

    ОтветитьУдалить
  31. > я вот чето не уверен

    Тогда купите себе справочник "Все компании компетентные в вопросах ИБ. Подробный классификатор с объективными рейтингами, отзывами и рекомендациями по выбору исполнителя", ну или на худой конец напечатайте. И будьте уверены. Почувствуйте загривком как чакры обновляются и раскрываются, а тело начинает благоговейно принимать из космоса уверенность в исполнителе работ, чувство безопасности и защищенности.
    Кстати, это работает. Проверено сектантами и религиозными деятелями, даже чай с травками пить не обязательно.

    ОтветитьУдалить
  32. ...пошел пить чай с травками...

    ОтветитьУдалить
  33. Кстати к вопросу о толпах стартаперов - гораздо эффективнее будет механизм саморегулируемых организаций или схожих партнерств. Тогда и выбирать можно будет из тех, кто состоит в СРО и ассоциация будет отвечать за добросовестность своих членов.

    ОтветитьУдалить
  34. "> Если в чем то не компетентен - обратись к специалистам.О_о к каким специалистам???"
    - Я же дальше написал - если не можете найти - наймите того кто найдет!

    "Только государство уполномочено защищать, применять силу, обеспечивать безопасность!"
    - ничего подобного !!! Вы имеете право защищаться сами!

    "А вот чего добиваются коммерческие структуры"
    - эти структуры в области ИБ не смогут ничего заработать если не будут держать себя на хорошем уровне и не развиваясь по качеству и т.п.

    "У безопасности НЕТ И БЫТЬ НЕ МОЖЕТ РЫНОЧНЫХ МЕХАНИЗМОВ. Этот дискурс здесь не применим. Безопасность не продается!"
    - Зайдите в магазин и купите скажем symantec - у него лицензии вроде нету ? Ну и куча примеров в таком же виде...

    Что Вы купите мерседес без лицензии или 6-ку с лицензией ? Ах Вы не хотите в этом понимать ?!
    Так слушайте государство - государство сказало покупать желтые машинки...

    Что вы купите cisco или nnm с лицензией ?

    Можно теоретически рассматривать лицензирование сколько угодно. Но при ее необходимости описанной мной выше она в многих случаях даже вредна для несуществующего рынка ИБ в РФ.
    Кстати в Европе как ?

    ОтветитьУдалить
  35. > наймите того кто найдет!

    Где-то есть реестр тех, кто ищет тех, которые ищут тех, кто ищет специалистов?
    А те кто ищет специалистов, знают где их искать или они тоже обращаются в какой-то реестр специалистов?
    А как быть с теми кто не знает где найти тех, кто ищет тех, которые ищут тех, кто ищет специалистов?
    Следуя Вашей логике, следует найти того, кто найдет того, который найдет тех, которые ищут тех, которые ищут тех, кто ищет специалистов.
    ...
    PROFIT!!!

    А Вы сможете отличить мерседес от шестерки, если у них внешний вид одинаков и заявленные ТТХ тоже? Тут видимо нужно опять обратиться к тем, которые ищут тех, которые знают как отличить два одинаковых черных ящика по цвету ауры. И самое главное, во втором случае не надо путать лицензирование и сертификацию. Разговор зашел о лицензировании, а лицензируют не мерседесы, а компании, которые бывают разные и в отличии от железа или ПО могут нести ответственность.

    ОтветитьУдалить
  36. "Следуя Вашей логике"
    - следует создать Министерство поиска!

    "А Вы сможете отличить мерседес от шестерки"
    - легко ! Мне для этого государство не нужно!

    "два одинаковых черных ящика по цвету ауры"
    - ноу коммент...

    "и в отличии от железа или ПО могут нести ответственность"
    - я же просил: приведите примеры ответственности! Я то могу привести после кучи подтверждений от Вас кучку своих примеров безответственности ;)

    ОтветитьУдалить
  37. > - следует создать Министерство поиска!

    Я ЗА!!

    > кучку своих примеров безответственности ;)

    Тогда я требую примеры ответственности оборудования циско перед своими пользователями. Именно оборудования, а не самой компании. И пусть эта циска будет с сертификатом КАСКАД! Они ответственнее, тебе я доверяю в этом вопросе больше чем ФСТЭКовским аккредитованным лабораториям типа КЛИО!!

    Если она вздумает некачественно исполнять свои обязательства по коммутации каналов, мы оштрафуем эту циску! Отзовем у нее сертификат и запретим заниматься определенными видами деятельности!))) И прослывет она среди коллег паршивой циской, и будут ее шпынять отовсюду и никто не захочет ее брать на работу, зарастет циска седой бородой, сопьется и окончательно опустится. Тяжела жизнь без сертификата.

    ОтветитьУдалить
  38. "Именно оборудования, а не самой компании."
    - я считаю что один из важнейших способов проявить уважение и ответственность перед пользователем как раз заключается в выпуске хорошей продукции.(это и есть один из рыночных принципов) Кстати существует некое правило отношений производителя хорошего продукта и "национальных хотелок" - звучит примерно так "если продукт хороший, то потребители сами найдут способ его легализации".

    За "КАСКАД" спасибо, но это общее дело в котором заинтересованы все прямо или косвенно.

    "мы оштрафуем эту циску" такой подход и такой принцип реализуем документально в рамках добровольной системы сертификации в некоторых случаях cisco или другая компания могут на это пойти и я не иронизирую!

    "зарастет циска седой бородой, сопьется и окончательно опустится."
    - практика показывает что она бреется ;), не курит и не пьет...

    ОтветитьУдалить
  39. "Где-то есть реестр тех, кто ищет тех, которые ищут тех, кто ищет специалистов?
    А те кто ищет специалистов, знают где их искать или они тоже обращаются в какой-то реестр специалистов?
    А как быть с теми кто не знает где найти тех, кто ищет тех, которые ищут тех, кто ищет специалистов?"

    откуда вообще взялись эти реестры?
    есть два типа компаний с лицензиями на тзки:
    1) те, кто занимались системной интеграцией всю жизнь и имеют компетенции в той или иной сфере безопасности (сетевой там, приложений, серверной и т.д.), обучают в этих направлениях сотрудников (пусть даже для получения партнерских статусов у вендоров, но зато обучение приближено к реальным потребностям) и решают практические задачи по защите инфраструктуры в серьезных проектах.
    в какой-то момент времени они сталкиваются, что для участия в тендере например или просто из каприза заказчика им нужна лицензия тзки. приходится ее получить: ну взять докупить например оборудования, которое потом не будет использоваться никогда либо взять его в аренду по договору, но не по факту. при этом компетенции спецов не изменились, ничего нового никто не узнал, компания осталась та же и занимается тем же делом.
    в этом случае компания ИЗВЕСТНА НА РЫНКЕ и к ней обращаются отнюдь не потому что у нее есть какая-то там лицензия. лицензия это довесок, аддон, плугин, но не решающий фактор.
    2) друзья представителей регуляторов, которые решают мутить проекты по защите информации и под это дело создают по быстрому ооо, через друзей получают лицензии и начинают рубить бабло на выполнении нехитрых аттестаций, фиктивных установок сертифицированных ненастроенных сзи, разработке нерабочих документов, решении половины задач "оргмерами". спецы в такой компании компетентны только в том, что они делают изо дня в день по стр-к: переписать серийники, установить локальный секретнет, померить никому никогда не сдавшийся в комтайне и персданных пэмин, повесить генератор шума, и взять за это люто бешеную сумму бабла - они ничего не петрят в реальных потребностях корпорации, для которой выполняют работы, не петрят в современных технологиях, которых обогнали стр-к на двадцать лет, для них слово виртуализация означает установку вмваре воркстейшан для тестирования випнет персонал фаирвол.
    в этом случае лицензия это ключ к успеху и основное достижение такой компании.
    что вообще сама по себе показывает такая лицензия? как проконтролировать работу этих компетентных специалистов? фстэк будет контролировать? ну лол же.
    в конечном итоге такое ооо когда-нибудь сорвет куш в виде огромного проекта, возьмет предоплату и ликвидируется, не выполнив работы, чтобы через некоторое время реинкарнироваться в виде ооо2, получив очередную лицензию через своих друзей.
    вин.

    есть регионы в которых есть один лицензиат или вообще ноль.
    это чтоли означает, что в регионе никто нет ИТ, никто не шарит в ИБ и никто не защищает свою информацию?

    ОтветитьУдалить
  40. > фстэк будет контролировать? ну лол же.

    Вот я и говорю, вся ваша логика (и Ваша, и Александра и всех тех кто отрицает необходимость лицензирования (еще раз подчеркиваю, что говорю о ЛИЦЕНЗИРОВАНИИ, а не сертификации)) проста как три копейки и основывается на единственной базовой посылке:

    "ФСТЭК безграмотен, а я д'Артаньян"

    Не много ли на себя берете?

    ОтветитьУдалить
  41. Почитал я все комменты и понял одно - в голве каждого есть сумбур и массы недовольств работой регулятора ФСТЭК.
    В действительности, в суровой российской действительности, лицензирование ТЗКИ должно быть, но только для организаций оказывающих такого рода услуги. Это нормальная практика. Хочешь продавать услуги - получи лицензию.
    Далее вопрос некомпетентности лицензитов...Спорный вопрос о некомпетентности.
    Давайте рассмотрим образынй пример, моя организация получила лицензию и появился заказчик по персданным. Большая-большая сложная сеть, с web приложениями и т.п. Я компетентен в вопросах ИБ, но рынок сертифицированных СЗИ не позволяет мне реализовать мою компетентность. Мне либо секрет нетом "защищать" web приложения, либо отказываться от заказа.
    Но дальше я понимаю, что если я не понатыкаю на все рабочие места секрет нетов, то их понатыкает другой лицензиат и получит мои потенциальные деньги. И? Где тут вопрос компетентности?
    Я прекрасно понимаю что секрет нет - это не защита приложений, а защита файлов. Но...
    И пусть кто нибудь порборует меня упрекнуть в некомпетентности.
    Так в чем же все таки вопрос? В лицензиях на ТЗКИ, количестве сертифицированных СЗИ, компетентности лицензиатов?
    Скорее всего дело в изначальных требованиях, которые были созданы для ГТ и растиражированы на Пдн. А это вкорне неправильно. Невозможно тиражировать защиту файлов на защиту информационных систем.
    Нельзя сертифицировать исходя из мысли "раз гостайну защищает, то персональные данные уж тем более защитит".
    Не зарегистрирован, но ФИ не боюсь оставить - Дубняк Сергей.

    ОтветитьУдалить
  42. Сергей !
    Все что Вы написали имеет место быть.
    Но Вы же понимаете, что направлений деятельности по ЗИ очень много! Изначально речь шла о ФЗ "О лицензировании отдельных видов деятельности" и речь не о ФСТЭК! Речь о том, что нужно разделять обеспечение комплексной безопасности в системе управления атомной электростанцией/самолетом/кораблем/оружием/транспортом и другие критические системы и другие!
    ФЗ об этом не говорит, но мы то, кто давно в теме понимаем, что нужно разделять мух от котлет...
    Там где котлеты - обязательное лицензирование и обязательная сертификация. Где мухи - там пусть рынок работает!

    ОтветитьУдалить
  43. Это понятно:) и я согласен, что в идеальной модели так оно и должно быть. Но в российской действительности, если убрать галочку о лицензировании ТЗКИ и применимости лицензии для защиты ПДн, получится такой хаос...Поверьте, что появится количество компаний готовых устроить вам комплексную защиту ПДн появится просто несметное количество! И пока рынок отсеет зерна от шелухи, столько бед сотворится...
    Россия - страна, где надо пилить деньги. Если не ты, то твой сосед...

    ОтветитьУдалить
  44. И сейчас таких компаний полно и бед творится много. Объем работ по защите ПДн определяется не лицензией а договором между Заказчиком и Исполнителем.

    ОтветитьУдалить
  45. Если у кого-то есть выход на наших законодателей давайте подготовим предложение о внесении изменений в ФЗ "О лицензировании отдельных видов деятельности". Есть предложение разделить лицензию ТЗКИ на две лицензии.
    1. Лицензия на ТЗКИ - лицензия, которая позволяет организации проводить работы по защите информации от утечки по техническим каналам связи (ПЭМИН, акустика и ......).
    2. Лицензия на защиту информации от НСД - лицензия, которая позволяет организации проводить работы по защите информации от НСД.
    Требования к получению лицензии 1 - оборудование и соответственно обученные специалисты.
    Требования к получению лицензии 2 - обученные специалисты по "определенному направлению" деятельнности.
    Можно формализовать направления деятельности в области ЗИ от НСД. Финансовый сектор, Здравоохранение и т.д......
    По каждому направлению определить конкретные критерии, которым должна удовлетворять организация, желающая предоставлять услуги по конкретному направлению деятельности.
    Гос. органы пусть получают обе лицензии, а комерческие структуры только вторую. В случае если коммерческая структура заявляет, что угрозы утечки по тех. каналам - актуальные, то получает и первую.

    ОтветитьУдалить
  46. > 2. Лицензия на защиту информации от НСД - лицензия, которая позволяет организации проводить работы по защите информации от НСД.

    А это зачем? Точнее - для кого/чего? И что она дает?

    ОтветитьУдалить
  47. >А это зачем? Точнее - для кого/чего? И что она дает?

    Для организации и выполнения работ по защите информации ограниченного доступа (банковская, коммерческая тайна). Под работами я пониманию - внедрение организационных и программно-аппаратных средств защиты информации. Организационная составляющая - это политики, регламенты, инструкции по обеспечению и управлению ИБ (давайте не забывать про аудит ИБ, оценку и управление рисками, оценку и управление инцидентами ИБ.... ). Под программно-аппаратными комплексами - средства защиты SN, Аккорд, eToken, Cisco, eTrust........
    Такая лицензия дает право заниматься всем тем, что я выше перечислил.

    ОтветитьУдалить
  48. Вот еще к вопросу о "собственных нуждах". В ФЗ "О лицензировании отдельных видов деятельности" ст.12, п.1, 3):
    деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
    Проще говоря, если вы оказываете услуги по поиску закладных устройств, ярким представителем которых является микрофон, то будте любезны получите лицензию у ФСБ на такой вид деятельности. А если для себя делаете, то без проблем.
    Вот такой же подход и к ТЗКИ нужно было применить.

    ОтветитьУдалить
  49. Сергею Ерохину:
    >Требования к получению лицензии 2 - обученные специалисты по "определенному направлению"
    >Такая лицензия дает право заниматься всем тем, что я выше перечислил.
    > Вот такой же подход и к ТЗКИ нужно было применить.

    В таком ключе наличие в организации специалистов, обученных по направлениям, и документов, подтверждающих это обучение, было бы достаточно. К чему еще одна _дорогая_ бумага?

    ОтветитьУдалить
  50. Не так дорого как сейчас :). Я бы даже сказал более того - дешево. Из прямых затрат - только 2800р. за бланк лицензии.

    Все необходимо прописать так, что бы это была не просто дорогая бумага, а документ потверждающий необходимый и достаточный уровень организации для проведения работ в определенной области ИБ. Можно долго спорить получиться или нет, кто из регуляторов работает неадекватно и т.д. но кто ни чего не делает у того ни чего не получается :). Я надеюсь, что молодые умы прийдут и во ФСТЭК и ФСБ ...... и начнут смотреть уже другими глазами на вопросы ИБ.

    ОтветитьУдалить
  51. Да поймите же, изначальная проблема не в лицензии и горе компаниях, а в требованиях которые им приходится выполнять. Не надо чесать все компании-лицензиаты под одну гребенку. Вот представьте себе картину, вы-молодая амбициозная компания в области ИБ. Вы готовы горы свернуть и защитить все от всех))) Получили лицензию, а дальше что? Варианта 2:
    1. Выполнять требования ФСТЭК, и иногда делать из реальной существующей защиты, Бог весть что. О реальной защите и безопасности речи идти не может. Защищаете направо и налево web приложения секрет-нетом, ставите тормозящие и фиг пойми как настраиваемые межсетевые экраны. Вы будете нравится многим операторам, поскольку обеспеченная Вами "защита" полностью проходит все проверки регуляторов и все счастливы.
    2. Вы создаете реально функционирующую систему защиты вопреки всем требованиям. Но после проверки на Вас "спускают всех собак" как со стороны регуляторов, так и со стороны операторов имеющих проблемы с регуляторами ввиду реальной защищенности.
    Как поступите Вы?
    Наверное порвете лицензию и скажете, что я так работать не буду!;)

    ОтветитьУдалить
  52. "Организационная составляющая - это политики, регламенты, инструкции по обеспечению и управлению ИБ (давайте не забывать про аудит ИБ, оценку и управление рисками, оценку и управление инцидентами ИБ...."
    регламент может разработать делопроизводитель или какой-нибудь методолог в организации, управление рисками осуществляется соответствующей службой, управление инцидентами ИБ пересекается с инцидентами ИТ, в инете полно шаблонов и рыб - зачем тут нужна лицензия?

    "Под программно-аппаратными комплексами - средства защиты SN, Аккорд, eToken, Cisco, eTrust........"
    лицензия не показывает знание продуктов вообще никак.
    там либо нужны вендорные компетенции, либо вообще все просто настраивается согласно документации.
    а некоторые средства защиты вообще имеют единственный способ использования: ГШ воткнул в розетку и все, какое-нибудь средство гарантированного уничтожения имеет одну кнопку и все и т.д.

    лицензия по мне так может быть применима только например для замеров, СИ, СП, аттестаций ОИ по стр-к, ну и подобного матана, связанного с техническими каналами.
    на все остальное она не нужна вообще B-)

    ОтветитьУдалить
  53. > необходимый и достаточный уровень организации для проведения работ в определенной области ИБ

    Организации - разные, работы - соответственно тоже. И почему государство определять должно, что и как мне у себя делать? Взял я на работу человека с ГОСУДАРСТВЕННЫМ дипломом - пусть он и делает все. Я разработаю ему KPI, систему мотивации, поставлю бизнес-цели и задачи, за их выполнение буду платить деньги. Но это другое, а вот вопрос - зачем нужна еще и лицензия - так и не решен...

    ОтветитьУдалить
  54. Я не сторонник лицензирования, но и не сторонник отмены лицензирования. Должно быть регулирование, только в каком виде...
    Для госорганов можно и оставить, чтобы на распил денег не лез кто попало, а то такая чехарда начнется! И пусть лицензиаты балуют заказчика диковинными сертифицированными приблудами. В этом интересы 3х сторон совпадут на 100% (лицензиат, заказчик и проверяющий). До той поры, пока не появятся инциденты безопасности (но это еще не скоро).
    Но для частников Вы правы. Мне никто не должен указывать как именно защищать. Есть объект защиты и я сам могу решить как и чем мне защищать. Не могу сам, так приглашу сисадмина с навыками. Мне вменили обязанность защиты, и я ее выполню. Не выполню - отвечу опять же самостоятельно.

    ОтветитьУдалить
  55. > В этом интересы 3х сторон совпадут на 100% (лицензиат, заказчик и проверяющий)

    "СДД" - "сожрите друг друга" :)

    ОтветитьУдалить