15-го июня было принято новое Постановление Правительства №541, о проекте которого я уже писал в феврале и которое внесло поправки в правила лицензирования деятельности по защите информации и по разработке средств защиты информации. Я летом что-то замотался и забыл про него написать, а позавчера на SOC Forum (кстати, материалы с него уже выложили ) начальник 2-го управления ФСТЭК Дмитрий Шевцов напомнил всем собравшимся, что с июня 2017-го года деятельность всех аутсорсинговых SOC (а также аудиторов и пентестеров) подпадает под лицензирование. Поэтому я решил вернуться к этому НПА и написать про него чуть подробнее.
Первая важная поправка в существующее Постановление Правительства №79 "О лицензировании деятельности по технической защите конфиденциальной информации" коснулась расширения списка видов деятельности, которые теперь потребуют обязательной лицензии. К ним относятся услуги:
Первая важная поправка в существующее Постановление Правительства №79 "О лицензировании деятельности по технической защите конфиденциальной информации" коснулась расширения списка видов деятельности, которые теперь потребуют обязательной лицензии. К ним относятся услуги:
- по контролю защищенности информации от утечек по техническим каналам
- по контролю защищенности информации от несанкционированного доступа
- по мониторингу ИБ
- по аттестации
- по проектированию в защищенном исполнении
- по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации.
Если отбросить специфические 1, 4 и 5 пункты, то у нас получается, что деятельность аудиторов, пентесторов и SOCов подпадает под новое регулирование и требует лицензии ФСТЭК. В принципе ФСТЭК уже не раз предупреждала об усилении требований к лицензиатам и желании навести порядок на рынке ИБ, убрав фирмы-однодневки и другие малоквалифицированные конторы. И вот результат.
Требования к лицензиатам непростые. Во-первых, это численность и квалификация персонала, к которым предъявляются особые требования, которые не способны будут выполнить многие небольшие фирмы и тем более стартапы. Во-вторых, требуется собственное помещение. И, наконец, сертифицированные средства контроля защищенности. Обо всем этом ФСТЭК уже говорила еще в начале года, так что была возможность подготовиться к новым требованиям. Хотя, что касается пентестеров, то многим из них будет непросто выполнить новый НПА по всем трем требованиям.
На SOC Forum Дмитрий Шевцов также упомянул, что и SIEM, используемые в SOC, также должны быть сертифицированы (хотя в самом Постановлении этого в явном виде нет), что вызвало некоторое неудовольствие со стороны представителей коммерческих SOCов - Solar Security (JSOC) и Информзащиты (SOC+). Они используют в качестве основы для своих SOCов иностранные SIEM, которые сертификата не имеют, что ставит под сомнение возможность расширения существующих лицензий этих двух компаний и, как следствие, вопрос о способности выполнять лицензируемый вид деятельность. Но думаю этот вопрос к июню может решиться. Хотя требований ФСТЭК ни к сканерам защищенности, ни к SIEM пока нет, а судя по прошлогоднему выступлению ФСТЭК на SOC Forum и не предвидится.
Кстати, лицензия понадобится и SOCам, которые сейчас создаются многими холдинагми для обслуживания интересов группы компаний. Например, SOC Сбербанка, SOC РЖД, SOC Ростеха (он же КЦОПЛ). Они предоставляют услуги множеству дочерних предприятий своего холдинга или группы компаний, что, по мнению ФСТЭК, требует наличия лицензии, на получение которой осталось около полугода.
В ПП-541 также интересен и последний пункт в списке новых видов деятельности. Означает он одно - любой интегратор, устанавливающий хотя бы антивирус, должен иметь лицензию ФСТЭК. Это примерно как любая компания, продающая средства шифрования (в понимании ФСБ) обязана иметь лицензию ФСБ.
Несмотря на озвученный бывшим Президентом Медведевым курс на снижение обременений по части лицензирования, ситуация, по крайней мере в области ИБ, возвращается к исходному состояния, а местами даже и ухудшается. Посмотрим, повлияет ли это на улучшение уровня ИБ в России.
