пятница, 19 августа 2011 г.

Лицензирование отменяется !? Новый проект постановления правительства о лицензировании деятельности по ТЗКИ

Свершилось, на сайте ФСТЭК опубликован проект Постановления правительства о лицензировании деятельности по технической защите конфиденциальной информации.

Скачать можно здесь. (за ссылку спасибо Алексею Краснову)

Самое интересное в этом документе в начале, а именно то, что же ФСТЭК (хотя нет, конечно же Правительство) считает деятельностью по технической защите конфиденциальной информации.

Сразу оговорюсь, что мой беглый анализ возможно будет содержать неточности, т.к. читать и правильно понимать наши нормативные документы - это особый талант :) . Итак....

"Под технической защитой конфиденциальной информации (не содержащей сведений, составляющих государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации) понимается комплекс выполняемых работ и (или) оказываемых услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней."

Ну ничего нового, комплекс работ или услуг... как же быть с использованием СЗИ для собственных нужд ?

"3. Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю (далее - лицензирующий орган)."

Тут вроде тоже без неожиданностей.

4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды выполняемых работ и (или) оказываемых услуг:

Оо, а вот это уже интересный финт ушами. Деятельность то получается лицензируется не вся.

а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в средствах и системах информатизации, технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается, помещениях со средствами (системами), подлежащими защите, помещениях, предназначенных для ведения конфиденциальных переговоров;

Это я понимаю как работы по проведению Э/М и акустических замеров с помощью специальной аппаратуры

б) контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации в средствах и системах информатизации, технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;

Хотя в западной литературе слово "контроль" равнозначно нашему "обеспечение", но тут мы все же говорим про наши документы и думается мне, что контроль опять же означает работы по проведению проверочных мероприятий с помощью специализированных программных и технических средств.

в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);

Тут думаю понятно о чем идет речь...

г) аттестация на соответствие требованиям по защите информации средств и систем информатизации; технических средств (систем), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для проведения конфиденциальных переговоров;

Тут тоже из текста ясно о чем речь...

д) проектирование объектов в защищенном исполнении: средств и систем информатизации; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения конфиденциальных переговоров;

Проектирование - термин широкий, но все же рядовые компании в рамках использования средств защиты для собственных нужд проектированием объектов в защищенном исполнении как правило не занимаются.

е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

Воотт.. самый непростой пункт. Вот тут, коллеги, интересно будет услышать и ваше мнение. Установка, монтаж.... и ремонт... этими вещами все же занимаются рядовые администраторы. Но с другой стороны здесь нет слова "эксплуатация", а значит если вы просто используете средства защиты, то под этот пункт не подпадаете, а уж вопрос с установкой, монтажом и ремонтом уверен, что можно будет как-нибудь хитро обойти (либо просто ФСТЭК не будет подходить к этим терминам "в лоб").

Каков же итог ? Если я все правильно понял, то получается, что большинство организаций (за исключением интеграторов, сертификаторов, аттестаторов и еще ряда других) выпадают из обязательного лицензирования по ТЗКИ в том числе в свете пресловутого 152-ФЗ. Ура, коллеги, прям не верится, что здравый смысл все же может восторжествовать.... (стучу по дереву).

P.S. Так как это пока только проект радоваться рекомендуется очень осторожно :)

11 комментариев:

  1. "Но с другой стороны здесь нет слова "эксплуатация", а значит если вы просто используете средства защиты, то под этот пункт не подпадаете, а уж вопрос с установкой, монтажом и ремонтом уверен, что можно будет как-нибудь хитро обойти (либо просто ФСТЭК не будет подходить к этим терминам "в лоб")."

    Я вижу следующий посыл:
    - если Вы контора и есть защищенная система - эксплуатируйте как пользователи...
    Но любые проектирования, внедрения, настройки, и т.п. - либо получайте лицензию либо приглашайте лицензиатов. И не важно для себя это делаете или в рамках оказания услуг.

    Вопрос - установить себе антивирус - нужна лицензия?
    Ответ - нужна! при условии что используется для защиты "конфиденциальной информации (не содержащей сведений, составляющих государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации)"

    ОтветитьУдалить
  2. Лицензия чтобы установить антивирус ? Лицензия чтобы нажать Next Next Next? Искренне надеюсь что нет ибо это бред.....

    ОтветитьУдалить
  3. Это не бред, а поводок, причем короткий, и строгий ошейник. Беспредел на госуровне. Хочу казню, хочу милую.

    ОтветитьУдалить
  4. Сейчас для установки средств защиты информации (антивирус), сертифицированный в системе сертификации ФСТЭК России или ФСБ России (например для выполнения требований по эксплуатации сертифицированной версии КРИПТОПРО CSP версии 3.6 R2)необходимо составлять акт и иметь лицензию:
    Для антивируса серт в ФСТЭК России - ТЗКИ и разработка и/или производство средств защиты конфиденциальной информации (ФСТЭК России)
    Для антивируса серт в ФСБ России - лицензия на разработку и/или прозводство средств защиты конфиденциальной информации (ФСБ России)

    ОтветитьУдалить
  5. Дмитрий! Откуда у Вас информация именно по этим лицензиям ?

    ОтветитьУдалить
  6. Может Лицензия на "Деятельность по ТЗКИ" ?..

    ОтветитьУдалить
  7. Мне кажется что по поводу необходимости лицензии для себя-не для себя еще много копий будет сломано.
    Ведь можно было написать, как в законе о лицензировании про крипту "... за исключением
    случая, если .....осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя", но не написали. А вот почему не написали, тут простор для рассуждений и домыслов. Не поверю, что люди, которые готовили данный документ, не в курсе споров об этой проблеме. А значит, кому то это выгодно.

    ОтветитьУдалить
  8. Вообще странно... Нас, пользователей, в последнее время все активнее наклоняли на предмет получения лицензий по ЗИ. А там интереснейшая штука - необходимость наличия средств контроля. Особенно это бьет по карману в части ПЭМИН. И тут такой проектик. Хм... Не верю.
    А, ну да, вот и заковыка - антивирус. Каспер лежит в реестре СЗИ ФСТЭК. Звать лицензиата при каждой смене настроек - нонсенс, значит будьте добры получать лицензию. Говорил же - не верю.

    ОтветитьУдалить
  9. Но обратите внимание что нет ни слова "настройка", ни слова "эксплуатация", ни слова "обслуживание", поэтому если читать в лоб то лицензиат нужен только для установки

    ОтветитьУдалить
  10. Мне кажется, что разработчики совсем не этот посыл имели в виду. Здесь полная аналогия с лицензированием по гостайне, в котором уже давно в лицензии указывается тот подвид деятельности, на который претендует лицензиат.

    Идея вообщем-то здравая, ее ждали давно.
    Чтобы оператор получал лицензию не на всю деятельность (и соответственно ему не требовалось обеспечивать наличие всего измерительного оборудования для ПЭМИН), а только в части защиты от НСД например.

    Однако реализация как обычно в России.
    Вид работ:
    е) установка, монтаж, испытания, ремонт средств защиты информации ...

    6. Лицензионные требования...:
    в) использование производственного, испытательного и контрольно-измерительного оборудования.... при выполнении работ и (или) оказании услуг, предусмотренных подпунктами «а», «г», «е» пункта 4 настоящего Положения)

    То есть получается - устанавливаете средства защиты? Должно быть контрольно-измерительное оборудование!
    Вот так.

    ОтветитьУдалить
  11. Да нет, я считаю, что реализация на высоте. В свое время Путин говорил о необходимости ухода от кормушки повального лицензирования. Пожалуйста - уходим, но понарошку.

    ОтветитьУдалить