Ответ ФСТЭК стартапу по ИБ в части лицензирования деятельности по ТЗКИ

Ответ ФСТЭК стартапу по ИБ в части лицензирования деятельности по ТЗКИ
Упомянутый позавчера стартап по ИБ направлял вопросы не только в Минкомсвязь, но и в ФСТЭК России. И вот на днях был получен оттуда ответ, который, на мой взгляд, гораздо более адекватный и взвешенный, чем у ИТ-регулятора. Это не отписка, а ответ по существу.

На вопрос, каким требованиям должно соответствовать облачное решение по ИБ, ФСТЭК ответила, что нужна лицензия на деятельность по технической защите конфиденциальной информации. Не могу сказать, что это ново, но по крайней мере у ИБ-стартап появилась ясность относительно тех обременений, которые повлечет за собой запуск облачного ИБ-сервиса.


Следующий вопрос был связан с тем, что облачный провайдер привлекает для ряда работ внешних подрядчиков, которым передаются ПДн для обработки или хранения. Стартап спрашивал - нужна ли привлекаемой организации лицензия ФСТЭК на ТЗКИ. Нужна!


Ни действующие, ни новые требования к лицензиатам ФСТЭК, не будут дифференцированными и учитывать масштаб бизнеса лицензиата. Что стартап с двумя сотрудниками, что интегратор с 2-мя тысячами сотрудников - требования едины. Не очень позитивная новость для стартапов, относящихся к малым или микро-предприятиям.


Но зато не требуется контрольно-измерительное оборудования :-)


Еще одна засада для стартапа - место осуществления лицензируемых видов деятельности. На квартире или в собственном доме это не допускается.


Последний вопрос касался возможности использования open source решений при создании облачного сервиса по ИБ, который планировалось затем сертифицировать/аттестовывать. Тут ФСТЭК похоже с этим еще не сталкивалась, судя по тому, что они говорят о наличии договора (если только GNU License рассматривать как оферту), гарантиях качества, наличия консультаций и техподдержки.


Вот такой ответ от ФСТЭК. Четко, по делу, но не всегда позитивно :-( Но таковы уж реалии нашего рынка. Посторонних в ИБ становится все меньше и меньше, ибо национальная безопасность под угрозой. Скоро введут новые требования к ИБ-аудиторам и пентестерам и жизнь станет совсем веселой...

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!