Страницы

Новые требования к лицензиатам ФСТЭК

Пробежался по новому ПП541, которое вносит изменения в ПП79 и ПП171, описывающие требования к получению лицензии ФСТЭК по ТЗКИ и разработке СЗИ. Вступает в силу через год.

Изменения существенные.



1. В перечень видов деятельности, которые подпадают под лицензируемые, добавили "услуги по мониторингу информационной безопасности средств и систем информатизации". Выходит, что любой SOC, MSSP и даже IaaS и SaaS с PaaS'ом должны становится в очередь за лицензией.

Было у ФСТЭК такое малозаметное письмо 222222, в котором была такая мысль и ранее: если юридическое лицо обеспечивает техническую защиту конфиденциально информации при ее обработке по поручению обладателя информации конфиденциального характера, то ему нужна лицензия на ТЗКИ.

Встречал я и такую логику: поручаешь обработку ПДн другому лицу -> оформляешь поручение в соответствии с ч.3 ст.6 152-фз. Обязательное условие такого поручения: обработчик обязан соблюдать конфиденциальность ПДн и обеспечивать их безопасность -> обработчик предоставляет услуги по защите ПДн -> обработчику нужна лицензия.

2. Средство анализа исходных кодов должно быть у каждого лицензиата (неясно только, нужен ли сертификат ФСТЭК). Зачем нужен анализатор кода каждому лицензиату  - тоже неясно, т.к. анализ кода - достаточно редкая и специализированная услуга. Большинство будет просто покупать анализатор как реквизит.  Примечательно, что у ЦБИ есть как раз такой продукт - анализатор кода АИСТ за 350 тыщ в год, который ставится на ОС Windows 9x/NT/2000.

Компания, которая выходит на рынок ИБ в России, сегодня вынуждена покупать в качестве реквизита такое говно, как Ревизор, Терьер и ФИКС, закупать анализатор спектра с поверенными антеннами, шумогенератор и шумомер, которые почти никогда не будут использоваться по назначению. Теперь вот нужно еще и покупать дорогущий анализатор кода... мда..

3. Требования к персоналу ужесточили. Теперь нужно 3 человека на основном месте работы с опытом от 3 до 7 лет (сейчас 2 с опытом 3-5 лет, совместительство допускается). Сейчас курсы переподготовки, если нет диплома по ИБ - это 74 аудиторных часа. Через год будет 360 аудиторных часов. Появилось требование об обязательном повышении квалификации раз в 5 лет.

В общем, спрос на спецов с профильным образованием будет расти, что хорошо :)

18 комментариев:

  1. Артем,
    во-первых, спасибо большое за заметку!
    во-вторых, эти изменения касаются только будущих соискателей лицензии ФСТЭК (после 17.06.2017) или же это также касается уже действующих лицензиатов?

    Иначе закон обратной силы не имеет тут действует?

    ОтветитьУдалить
    Ответы
    1. Я не юрист, но вижу так:
      - в отношении видов деятельности, подлежащих лицензированию, касается всех через год;
      - в отношении остальных требований касается тех, кто получает, вносит изменения либо переоформляет лицензию через год.

      Удалить
  2. "Выходит, что любой SOC, MSSP и даже IaaS и SaaS с PaaS'ом должны становится в очередь за лицензией" - только если явно декларируется что они обеспечивают своим мониторингом техническую защиту конфиденциалки. В противном случае ФСТЭК не имеет право регулировать такую деятельность

    ОтветитьУдалить
    Ответы
    1. Согласен, но грань тонка. При сумме контракта более 1.5 млн рублей есть риск ст. 171 УК РФ в особо крупном размере. Вероятность низкая, ущерб высокий (до 5 лет) => угроза актуальная :)

      Удалить
  3. Получается, что молодой специалист, получивший высшее образование по специальности информационной безопасности, должен устроиться на работу в организацию, занимающейся лицензируемым видом деятельности и, которая согласиться принять к себе в штат еще одного сотрудника, т.е. это будет ей экономически целесообразно и затем проработав 3 года этот молодой специалист может перейти работать в другую организацию и стать одним из тех двух минимально необходимых специалистов? А если так случайно получилось, что молодой специалист живет не в Москве и в том регионе нет большого количества фирм, готовых к себе принять спеца по ИБ, то как тогда ему набрать стаж? Особенно это актуально для тех, кто закончил учебу в 2015-16 годах. Есть специалист после учебы и работает в организации по ИБ и к вступлению в силу постановления он не набрал необходимого стажа. Его на улицу? Или нужно принять на работу на время специалистов имеющих стаж, чтобы молодой доработал до 3 лет, а потом новеньких уволить? Или я неправильно понял постановление?

    ОтветитьУдалить
    Ответы
    1. Это значит в небольших организациях вчерашние студенты еще более станут не нужны

      Удалить
    2. В законе нет требования, что работать 3 года нужно именно у лицензиата. Местное ФСБ, как правило, лояльно относится к людям, которые занимались 3 года информационной безопасностью, например, в госорганах или на каком-нибудь местном заводе.

      Да и вступления в силу постановления можно не ждать. 3 года стажа - это требование действующего документа.

      Удалить
    3. Не очень-то востребованная должность - специалист по защите информации. Если только зачтется, что молодой будет работать айтишником, но в его должностном регламенте будут прописана обязанность по ИБ, тогда еще хорошо, т.к. не во всех организациях с легкостью идут по пути ввода новой должности или переименования имеющейся.

      Удалить
    4. К тому же, мое мнение те, кто после учебы попадают не в крупные компании, где уделяется внимание ИБ, а в бюджетную организацию, где это делается по принципу - лишь бы отстали контролирующие органы, то этот выпускник за эти три года работы только умственно деградирует и позабудет, что он изучал в вузе.

      Удалить
    5. Опыт сисадминства, скорее всего, не зачтется. "лишь бы отстали регуляторы" - это общий драйвер ИБ у всех (в т.ч. и за рубежом).

      Вне зависимости от того, где ты работаешь и насколько тебе интересно на работе, нужно развиваться самому чтобы не деградировать. Работа в бюджетной организации может дать тебе тихое место, где ты сильно не отвлекаясь на реальную работу сможешь прокачивать свои ИБ навыки.

      Удалить
    6. Не получится спокойно... Работа в бюджетке подразумевает бегать из кабинета в кабинет и "заносить хвосты продвинутым юсерам", а если вдруг руководство посчитает, что у тебя мало работы, то еще несколько направлений тебе спустят. Лично я не встречал в бюджетках действительно увлеченных людей, старающихся заниматься саморазвитием. Обычно бюджетка дает только наличие стажа по определенному направлению, а затем уже идешь со стажем к коммерсам за ЗП и начинаешь саморазвиваться, в рамках требований работодателя, ну возможно и расширять познания, если это может принести пользу (прибыль) учреждению.

      Удалить
  4. Артем, а не подскажете куда ушел подпункт "сертифицированные испытания на соответствие требованиям по безопасности информации продукции..."?

    ОтветитьУдалить
  5. Еще вопрос в рамках новых требований. О требованиях к помещениям. Новыми лицензионными требованиями, предъявляемыми к лицензиату (соискателю лицензии) на осуществление деятельности по технической защите конфиденциальной информации, в части наличия помещения являются:

    -Действующее требование к помещению: наличие помещений для осуществления лицензируемого вида деятельности, соответствующих установленным законодательством Российской Федерации техническим нормам и требованиям по технической защите информации и принадлежащих соискателю лицензии на праве собственности или на ином законном основании;

    -Новое (с 17.06.2017) требование к помещению: наличие помещений, принадлежащих лицензиату (соискателю лицензии) на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, производственного и испытательного оборудования для осуществления лицензируемого вида деятельности, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну;


    Какими документами подтвердить:
    -соблюдение условий в помещении для размещения работников, производственного и испытательного оборудования;
    - соблюдение условий в помещении для осуществления лицензируемого вида деятельности?

    ОтветитьУдалить
  6. Артем, а Вы уверены, что всего 3 специалиста? В пп.541 написано "а также инженерно-технических работников (не менее 2 человек), имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет"

    Интересует фраза, "в области проводимых работ". Имеется ввиду 2 человека по каждому виду деятельности, контролю защищенности, проектированию, внедрению, и т.д.? Чем и как это будет подтверждаться? Должностью в труд книге? Должностной инструкцией с прошлых мест работы?
    Или же речь идет про человека, который работал у лицензиата, с такими же открытыми работами как и у соискателя лицензии? В таком варианте подходят 3 человека...

    ОтветитьУдалить
    Ответы
    1. начальник и два специалиста, да. Оно, конечно, чем больше - тем лучше. Но 2 - необходимый минимум. Специалисты могут быть специалистами по всем необходимым видам работ одновременно. Благо классический диплом ИБшника всё покрывает.
      Подтверждение опыта = должности в трудовой. Если названия слишком общие - то должностная инструкция с прошлого места работы с нужным текстом (и печатью).

      Удалить
    2. Артем, спасибо за ответ. Я такой же позиции придерживался, смутило мнение Лукацкого после посещения конференции ФСТЭК http://lukatsky.blogspot.ru/2017/02/blog-post_14.html

      Удалить
    3. Может что-то и поменялось сейчас. Мой опыт заканчивается концом 2016 года.

      Удалить
    4. Ничего, кроме конференции ФСТЭК и немного неуверенной позиции отвечающих представителей службы на вопросы аудитории...

      Удалить