На публичное обсуждение вынесены два проекта постановлений Правительства РФ, корректирующих лицензионные требования в сфере защиты информации: ПП № 171 и ПП № 79. Документы 164629 и 164632 доступны на портале regulation.gov.ru. 6 апреля в сети появились дополнения в части требований к сотрудникам, проекты 166970 и 167110.
Ключевые изменения, которые предусматривают проекты
Запрет на иностранное участие.
Лицензию не получат иностранные юрлица, российские компании с руководителями-имеющими гражданство иностранного государства и ИП — имеющие гражданство иностранного государства.
Помещения и инфраструктура.
Помещения — только нежилые, с правом владения или пользования. Информационные системы Лицензиата, предназначенные для работы с конфиденциальной информацией, обязательны к аттестации.
Стандарты разработки.
Для разработчиков СЗИ предусматривают обязательное внедрение системы безопасной разработки ПО в соответствии с ГОСТ Р 5639‑2024.
Документы.
Обязательно подтверждение стажа, подтверждение прав на ПО (лицензии и право использования), для разработчиков СЗИ — описание системы безопасной разработки ПО. При добавлении новых работ или смене адреса деятельности Лицензиата обязательным будет заново подтверждение соответствия всем требованиям.
Госсектор (ПП № 79).
Лицензиаты при осуществлении лицензируемых видов деятельности обязаны будут соблюдать требования к защите информации, содержащейся в ГИС и иных информационных системах гос.учреждений, установленные ст. 16 Федерального закона «Об информации, информационных технологиях и о защите информации»).
Ужесточение требований к персоналу
Отдельно хочется выделить новые планируемые требования к сотрудникам в сфере ИБ.
Для тех.защиты (ПП № 79)
Для работ в п.4 а), б), д), е) — не менее 5 специалистов. Каждый из них должен соответствовать одному из условий:
- высшее образование в сфере информационной безопасности (ИБ) и опыт работы по указанным подпунктам не менее трёх лет;
- иное высшее образование, опыт работы по указанным подпунктам не менее 3 лет с профессиональной переподготовкой по согласованным ФСТЭК России программам.
Для работ в п.4 в) (мониторинг) минимальная численность — не менее 15 специалистов. Требования к квалификации предусматривают:
- не менее 5 сотрудников с высшим или средним профессиональным образованием в сфере ИБ и стажем от 3 лет работы, либо иным образованием при подтверждённом опыте работы по подпункту «в» не менее 3 лет с профессиональной переподготовкой по согласованным ФСТЭК России программам;
- не менее 10 сотрудников — имеющих высшее или среднее профессиональное образование в сфере ИБ, или иное высшее/среднее профессиональное образование и также профессиональная переподготовка по согласованным ФСТЭК России программам.
Для работ в п.4 г) (аттестация) — не менее 9 специалистов. Квалификационная структура включает:
- не менее 3 сотрудников с высшим образованием в сфере ИБ и опытом работы по подпункту «г» не менее 3 лет, либо иное высшее образование, опыт работы 3 года и прохождение профессиональной переподготовки по согласованным ФСТЭК России программам;
- не менее 6 сотрудников — высшее или среднее профессиональное образование (в области ИБ), для сотрудников с иным образованием — профессиональная переподготовка по согласованным ФСТЭК России программам.
Независимо от вида выполняемых работ, в штате организации должен быть руководитель и/или уполномоченное лицо, отвечающее за выполнение мероприятий по ТЗКИ. Требования: высшее образование в области информационной безопасности и стаж работы не менее 3 лет, иное высшее образование, стаж работы не менее 5 лет и профессиональная переподготовка по программам, согласованным ФСТЭК России.
Для разработки и производства СЗИ (ПП № 171)
Строго установлена численность инженерно-технических работников: не менее 5 сотрудников.
Все инженерно-технические работники должны иметь высшее образование в сфере ИБ и опыт работы 3 года, либо иное высшее образование, опыт работы 3 года и пройти профессиональную переподготовку по программам, согласованным ФСТЭК России.
Для руководителя работ установлены следующие требования: высшее образование в области ИБ или иное высшее образование с прохождением профессиональной переподготовки по программам, согласованным ФСТЭК России, стаж работы — не менее 5 лет.
Также ко всем работникам (относится как к ПП № 79, так и к ПП № 171) предлагается внести обязательное требование (согласно 166970 и 167110): прохождение повышения квалификации по направлению работ и (или) услуг, в течение 1 года до направления заявления в лицензирующий орган.
Вывод
Лицензионные требования становятся более конкретными и проверяемыми: усиливается контроль за кадровым составом, инфраструктурой и фактическим соответствием компании заявленным условиям.
При этом импортозамещение, использование отечественного ПО и оборудования закрепляются как отдельное направление ужесточения требований.
Ждём результатов рассмотрений проектов.
