11 Марта, 2014

О лицензировании деятельности по защите информации и криптографии

Алексей Лукацкий
О лицензировании деятельности я пишу  регулярно и решил снова обратиться к этой теме, тем более, что повод более чем хороший. На днях прошло заседание рабочей группы при Минкомсвязи (в т. ч. и с участием представителей ФСБ), которое было посвящено вопросу внесения поправок в законодательство о лицензировании отдельных видов деятельности с целью приведения вопросов лицензирования ТЗКИ и криптографии в соответствующее реалиям русло.

Была недлинная дискуссия, на которой пришли к мнению, что текущие формулировки слишком расплывчаты и под них попадают избыточное количество организаций, которые занимаются защитой информацией или видами деятельности по шифрованию (исключая разработку и распространение) для собственных нужд. Но если обиходное понятие "для собственных нужд" не вызывает ни у кого вопросов, то с его юридическим значением все не так просто. Что такое собственные нужды предприятия? Защита ПДн сотрудников - это чьи нужды, предприятия или сотрудника? А защита канала до клиента в рамках ДБО? А межофисное взаимодействие по каналам связи общего пользования? Вопросов много, а официальных ответов нет. ФСТЭК свою позицию озвучила ; правда, к ней тоже есть вопросы, но в целом подход регулятора по ТЗКИ понятен. А вот ФСБ молчит. Иногда выплеснут что-нибудь вроде "выход за пределы ЛВС в сеть общего пользования требует лицензии" или "телефонные консультации по применению СКЗИ требуют лицензии", но обычно молчат.

Тоже самое и с понятием "техническое обслуживание". Что это? Обновление версии СКЗИ - это техническое обслуживание или модернизация? Если второе, то будьте добры получить  лицензию на гостайну. Опять вопросы, вопросы, вопросы... И все без ответа, т.к. неоднократные попытки официально запросить ФСБ так и не увенчались успехом.

Вот это все мы и обсуждали на рабочей группе при Минкомсвязи и пришли к мнению, что надо найти правильные формулировки 1-го и 5-го пунктов части 1 статьи 12 закона "О лицензировании отдельных видов деятельности". Первая попытка пока успехом не увенчалась и мы разошлись с домашним задание - подумать над формулировками, которые с одной стороны не отпустят во все тяжкие разработчиков средств защиты, интеграторов, консультантов, аудиторов и т.п. лиц, извлекающих из своей деятельности вполне конкретную прибыль, а с другой - вывести из под формулировки обычных юрлиц и индивидуальных предпринимателей, занимающихся деятельностью по защите для собственных нужд.

Зная, что блог читает немалое количество специалистов, имеющих опыт нормотворчества, решил домашнее задание разделить с общественностью. Помогите сформулировать 1-й и 5-й пункты правильно! Коллективный разум лучше одиночного.

ЗЫ. 5-й пункт сейчас звучит следующим образом - "деятельность по технической защите конфиденциальной информации", а 1-й - "разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"

ЗЗЫ. Совсем отказаться от лицензирования не предлагать :-)
или введите имя

CAPTCHA
12 Марта, 2014
Ни при каких обстоятельствах не стоит отказываться от лицензирования, наоборот, вся деятельность по ТЗИ, включая криптографию, должна осуществляться только при наличии лицензии, даже, когда речь идет о защите личных данных на личном ПК. Почему? Контроль реального состояния защиты и ответственность за ненадлежащую защиту у нас, в России, отсутствуют. ФСТЭК и ФСБ этим не занимается, по факту, ибо, те проверки, которые они проводят, иначе как бутафорией – не назовешь. Что можно проверить за неделю в ИТ? Сколько постановлений и по каким статьям КОАП вынесено этими регуляторами, сколько штрафов? Даже те, кто знает эти сведенья в полном объеме, включая гостайну, смеются над объективностью этого контроля и суммами штрафов. Первый вопрос, который задает директор Предприятия – «А что мне за эти … нарушения будет, при самом неблагоприятном результате проверки?» Получив развернутый ответ, со всеми нюансами, уважающий себя начальник, улыбаясь, достаёт кошелек и из личных средств субсидирует все расходы на предстоящую проверку и все возможные санкции. Более того. После такого контроля состояния ТЗИ, разговор о привлечении высококлассных специалистов для осуществления работ по ТЗИ, имеющих соответствующую лицензию, тормозиться на уровне секретарши или пятого зама. Если продолжить политику «собственных нужд» и далее, то отрасль окончательно упраздниться. Почему лицензировать надо работы для личного ПК? Потому, что с личного ПК (планшетника, ТЛФ, …) осуществляется ДБО субъекта, например. Что кроме ПО ДБО у него развернуто, не знает даже он сам, но претензии банк обязан расхлебывать за свой счет, или включать «дурака» и посылать клиента по ветру, что нарушает правила игры и саму парадигму ДБО и других значимых сервисов, включая использование юридически значимой ЭП. Т.е. для реализации юридически значимых транзакций – ПК должен быть аттестован. Аттестат предполагает наличие лицензии и соответствующей ответственности у аттестующего. Но это уже следующая тема.
0 |
  • Поделиться
  • Ссылка
12 Марта, 2014
И какие проблемы Вы решаете введением обязательного лицензирования и аттестации? Если проведение аудита или проверки действительного состояния ИБ в организации уже сейчас вызывает затруднение - чем поможет требования получения лицензии или аттестата? Обеспокоены проблемой привлечения специалистов? Ну так если у предприятия объективно не существует потребностей в защите информации - специалисты и не будут нужны. Можно пытаться навязывать подобную потребность, подобно тому как навязывалась необходимость защиты персональных данных, но подобный подход приводит только к появлению поколения бумагомарателей а не технических специалистов... Подумайте ещё о том какие издержки будут созданы если Ваше предложение будет реализовано, и как они соотносятся с реально существующими опасностями. Не забудьте включить в Вашу оценку издержек и коррупционную составляющую, и то что предприятия часто "перестраховываются" внедряя излишние СЗИ, просто в силу недопонимания требований и даже дополнительные риски которые создаёт сертификация и аттестация, "замараживая" ИС в то время как новые уязвимости всё открываются и открываются...
0 |
12 Марта, 2014
Вы предлагаете выпускать автомобили без краштестов? Без ремней и подушек, без тормозов, …, пусть каждый водитель эту проблему (безопасности) решает сам? Коррупция рождается в головах, а не в законах, нет закона, который нельзя извратить и использовать во вред.
0 |
Алексей Лукацкий
14 Марта, 2014
Коллеги, всем спасибо. Мысли собрал, идеи уловил. Пошел думать над формулировками
0 |
  • Поделиться
  • Ссылка
Юля Ильющенко
3 Апреля, 2014
Подскажите пожалуйста, в случае, если Банк получил такую лицензию от ФСБ, имеет ли он право получать прибыль от деятельности с СКЗИ по данной лицензии. Например изготавливать ЭП для сторонних организаций с целью получения прибыли.
0 |
  • Поделиться
  • Ссылка
Алексей Лукацкий
3 Апреля, 2014
Мне кажется ФЗ о банках запрещает получать прибыль от непрофильной деятельности
0 |
  • Поделиться
  • Ссылка