Новое Положение о лицензировании деятельности по ТЗКИ

3 февраля сего года подписано Постановление Правительства РФ № 79 "О лицензировании деятельности по технической защите конфиденциальной информации", которым утверждено новое "Положение о лицензировании деятельности по технической защите конфиденциальной информации". Довольно подробно по нему уже прошлись Александр Бондаренко, Алексей Лукацкий и Михаил Емельянников.

Я бы хотел остановиться на следующем моменте: согласно п.4 Положения вся деятельность по ТЗКИ теперь подразделяет на следующие виды работ и услуг:

а) контроль защищенности конфиденциальной информации от утечки по техническим каналам ...
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
в) сертификационные испытания ...;
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации;
д) проектирование в защищенном исполнении...;
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

Таким образом получается, что всем компаниям, обрабатывающим конфиденциальную информацию (а согласно Положению ею является информация, не содержащая сведения, составляющие государственную тайну, но защищаемая в соответствии с законодательством РФ, т.е. и те же персональные данные, и сведения, составляющие банковскую тайну и другие многочисленные виды тайн) необходимо как минимум получать лицензию на ТЗКИ для выполнения работ, предусмотренных подпунктом "е" пункта 4 Положения, т.е. чтобы установить себе лично любое средство защиты.

Так вот, я бы хотел остановиться на том, на что же ФСТЭК обрекает миллионы невинных российских организаций, обязанных получить эту лицензию ради кормушки регуляторов повышения уровня защиты конфиденциальной информации.

Итак, согласно Положению к соискателю лицензии на осуществление деятельности по ТЗКИ предъявляются следующие лицензионные требования:

а) для юр. лиц наличие специалистов, находящихся в штате соискателя лицензии, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации; для индивидуальных предпринимателей требование по наличию образования или переподготовке предъявляется к ним самим, так что придется бедным предпринимателям малость поучиться;
б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих установленным законодательством РФ техническим нормам и требованиям по технической защите информации (по сути получается аттестованным) и принадлежащих соискателю лицензии на праве собственности или на ином законном основании;
в) наличие на праве собственности или на ином законном основании контрольно-измерительного оборудования (прошедшего в соответствии с законодательством РФ метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования, соответствующего требованиям по техническим характеристикам и параметрам, устанавливаемым ФСТЭК;
д) наличие автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством РФ;
е) наличие предназначенных для осуществления лицензируемого вида деятельности программ для ЭВМ и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании;
ж) наличие технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с утверждаемым ФСТЭК перечнем и принадлежащих соискателю лицензии на праве собственности или на ином законном основании.

И во что же это все это выльется для конечных организаций?

UPD

Нашел еще анализ нового Положения о лицензировании деятельности по ТЗКИ у Сергея Борисова. У него в дополнение к сказанному другими экспертами дан более подробный анализ того, какие задачи, связанные с установкой и эксплуатацией СЗИ для собственных нужд, попадают под лицензирование, а какие нет.

Письмо ЦБ о статусе "Письма шестерых" и легитимности Комплекса БР ИББС в отношении обработки и защиты персональных данных

На сайте Центрального Банка опубликовано письмо "О реализации в организациях банковской системы Российской Федерации отраслевого комплекса документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации". 

В письме теперь уже официально от имени ЦБ говорится о подтверждении регуляторами действия согласованного Роскомнадзором, ФСБ России и ФСТЭК России письма-обращения от 28.06.2010 г. № 01-23/3148 ("Письмо шестерых") и легитимности применения Комплекса БР ИББС при организации обработки и обеспечения безопасности ПДн до выхода новых подзаконных актов, устанавливающих уровни защищенности и требования к защите ПДн. 

Ранее аналогичная позиция высказывалась и в Информационном письме № 5 Консультационного центра АРБ, в котором также говорится о возможности использования положений Комплекса БР ИББС при организации обработки и обеспечению безопасности ПДн до выхода новых подзаконных актов.

При этом ЦБ сообщает, что уже в ближайшее время на согласование в Роскомнадзор будут представлены изменения в части требований по обработке ПДн (т.е. изменения раздела 7.10 СТО БР ИББС-1.0-2010), после чего новый текст требований будет доведен до банковского сектора (видимо без официального внесения изменений в СТО БР ИББС-1.0-2010). 

После же выхода новых постановления Правительства РФ, устанавливающих уровни защищенности и требования к защите ПДн, в Комплекс БР ИББС будут внесены изменения как в части обработки, так и в части защиты ПДн. В настоящее время требования по обработке и защите ПДн затрагивают следующие документы Комплекса БР ИББС: СТО БР ИББС-1.0-2010, СТО БР ИББС-1.2-2010, РС БР ИББС-2.3-2010, РС БР ИББС-2.4.2010, а также Методические рекомендации ЦБ, АРБ и Ассоциации "Россия" по выполнению законодательных требований при обработке ПДн в организациях БС РФ. Видимо новых версии этих документов и обновленного "Письма шестерых" и стоит ждать после выхода новых постановлений Правительства РФ. 

P.S. Ссылочка на текст письма добавлена на вкладку блога "Нормативная база", там же собраны и другие документы по тематике ИБ в банковской сфере.