3 февраля сего года подписано Постановление Правительства РФ № 79 "О лицензировании деятельности по технической защите конфиденциальной информации", которым утверждено новое "Положение о лицензировании деятельности по технической защите конфиденциальной информации". Довольно подробно по нему уже прошлись Александр Бондаренко, Алексей Лукацкий и Михаил Емельянников.
Я бы хотел остановиться на следующем моменте: согласно п.4 Положения вся деятельность по ТЗКИ теперь подразделяет на следующие виды работ и услуг:
а) контроль защищенности конфиденциальной информации от утечки по техническим каналам ...
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
в) сертификационные испытания ...;
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации;
д) проектирование в защищенном исполнении...;
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Таким образом получается, что всем компаниям, обрабатывающим конфиденциальную информацию (а согласно Положению ею является информация, не содержащая сведения, составляющие государственную тайну, но защищаемая в соответствии с законодательством РФ, т.е. и те же персональные данные, и сведения, составляющие банковскую тайну и другие многочисленные виды тайн) необходимо как минимум получать лицензию на ТЗКИ для выполнения работ, предусмотренных подпунктом "е" пункта 4 Положения, т.е. чтобы установить себе лично любое средство защиты.
Так вот, я бы хотел остановиться на том, на что же ФСТЭК обрекает миллионы невинных российских организаций, обязанных получить эту лицензию ради кормушки регуляторов повышения уровня защиты конфиденциальной информации.
Итак, согласно Положению к соискателю лицензии на осуществление деятельности по ТЗКИ предъявляются следующие лицензионные требования:
а) для юр. лиц наличие специалистов, находящихся в штате соискателя лицензии, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации; для индивидуальных предпринимателей требование по наличию образования или переподготовке предъявляется к ним самим, так что придется бедным предпринимателям малость поучиться;
б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих установленным законодательством РФ техническим нормам и требованиям по технической защите информации (по сути получается аттестованным) и принадлежащих соискателю лицензии на праве собственности или на ином законном основании;
в) наличие на праве собственности или на ином законном основании контрольно-измерительного оборудования (прошедшего в соответствии с законодательством РФ метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования, соответствующего требованиям по техническим характеристикам и параметрам, устанавливаемым ФСТЭК;
д) наличие автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством РФ;
е) наличие предназначенных для осуществления лицензируемого вида деятельности программ для ЭВМ и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании;
ж) наличие технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с утверждаемым ФСТЭК перечнем и принадлежащих соискателю лицензии на праве собственности или на ином законном основании.
И во что же это все это выльется для конечных организаций?
UPD
Нашел еще анализ нового Положения о лицензировании деятельности по ТЗКИ у Сергея Борисова. У него в дополнение к сказанному другими экспертами дан более подробный анализ того, какие задачи, связанные с установкой и эксплуатацией СЗИ для собственных нужд, попадают под лицензирование, а какие нет.