На портале проектов нормативных актов выложен неприметный документ с неприметным названием: "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности", который при этом касается именно нашей с вами темы, а точнее вопросов лицензирования деятельности по технической защите конфиденциальной информации (ПП-79).
Самое главное, что предлагается изменить, - в явной форме зафиксировать мысль, что лицензия для обеспечения собственных юрлица или индивидуального предпринимателя не требуется. Если этот документ примут в такой редакции, то наконец-то будет поставлена точка в вопросе - нужно или нет получать лицензию на ТЗКИ для защиты собственной информации (например, при реализации положений ФЗ-152).
А вот что касается тех, кто предоставляет услуги по защите информации третьим лицам, их новый проект положения коснется в полной мере. Среди нововведений:
Самое главное, что предлагается изменить, - в явной форме зафиксировать мысль, что лицензия для обеспечения собственных юрлица или индивидуального предпринимателя не требуется. Если этот документ примут в такой редакции, то наконец-то будет поставлена точка в вопросе - нужно или нет получать лицензию на ТЗКИ для защиты собственной информации (например, при реализации положений ФЗ-152).
А вот что касается тех, кто предоставляет услуги по защите информации третьим лицам, их новый проект положения коснется в полной мере. Среди нововведений:
- Требование лицензии на ТЗКИ при проведении мониторинга ИБ. То есть все SOCи и иже с ними потребуют получения соответствующей лицензии от регулятора.
- Наладка средств защиты также теперь потребует лицензии ФСТЭК.
- Четко прописаны требования к квалификации и количеству персонала у лицензиата.
- Оборудование, необходимое для выполнения лицензионных работ, теперь должно быть только в собственности лицензиата. Больше никакой аренды.
- Требование наличия системы менеджмента ИБ в соответствие с требованиями национальных стандартов. Иными словами, теперь все лицензиаты ФСТЭК должны у себя реализовывать ISO 27001. Что интересно, при подаче документов на получение лицензии необходимо представить копии документов, подтверждающих наличие такой системы менеджмента. Что это за документы? Сертификат соответствия, выданный BSI или иным органом по сертификации?
- Появилось требование обязательного повышения квалификации один раз в пять лет.
Что можно сказать в качестве резюме по данному проекту нормативного акта. ФСТЭК снимает обременения с тех, кто занимается защитой для себя (а точнее ставит точку в бесконечных спорах о необходимости получать лицензию для собственных нужд). И это позитивно. С другой стороны, требование иметь собственное оборудование повышает порог вхождения в этот бизнес (оборудование недешевое). А уж требование иметь сертификат по 27001 и вовсе существенно сужает число потенциальных игроков этого рынка, оставляя только тех, кто реально понимает, что и зачем он делает. "Старперам от аттестации" больше не место в этой области.
Вторая часть проекта постановления посвящена внесению изменений в ПП-171, посвященное лицензированию деятельности по разработке средств защиты конфиденциальной информации. Тут изменения схожи с вышеописанными:
- Четко прописаны требования к квалификации и количеству персонала у лицензиата.
- Оборудование, необходимое для выполнения лицензионных работ, теперь должно быть только в собственности лицензиата. Больше никакой аренды.
- Наличие системы менеджмента качества (ISO 9000), а также реализацию стандарта (пока проекта) по безопасному программированию (SDLC).
Собственно, ключевое изменение - последнее. Раньше наличие сертификата соответствия ISO 9000 не требовалось при получении лицензии на разработку средств защиты. С одной стороны это позитивный момент, так как с рынка уйдут фирмы-однодневки, решившие на волне импортозамещения по-быстрому состричь денег за счет выпуска какой-нибудь поделки. С другой - требование сертификации системы менеджмента качества выводит за скобки нарождающиеся стартапы, которые не смогут вкладываться в эту статью затрат пока не продадут достаточно количества своих решений. А продавать они их смогут только коммерческим компаниям, которым не требуется сертификация средств защиты (сертификат может быть выдан по сути только лицензиату). Так что решение неоднозначное, но интересное.
ЗЫ. Желающие могут высказать свои предложения (а не критику) на странице законопроекта.