Новые требования к лицензиатам ФСТЭК

Новые требования к лицензиатам ФСТЭК
Пробежался по новому ПП541 , которое вносит изменения в ПП79 и ПП171, описывающие требования к получению лицензии ФСТЭК по ТЗКИ и разработке СЗИ. Вступает в силу через год.

Изменения существенные.

name='more'>

1. В перечень видов деятельности, которые подпадают под лицензируемые, добавили "услуги по мониторингу информационной безопасности средств и систем информатизации". Выходит, что любой SOC, MSSP и даже IaaS и SaaS с PaaS'ом должны становится в очередь за лицензией.

Было у ФСТЭК такое малозаметное письмо 222222 , в котором была такая мысль и ранее: если юридическое лицо обеспечивает техническую защиту конфиденциально информации при ее обработке по поручению обладателя информации конфиденциального характера, то ему нужна лицензия на ТЗКИ.

Встречал я и такую логику: поручаешь обработку ПДн другому лицу -> оформляешь поручение в соответствии с ч.3 ст.6 152-фз. Обязательное условие такого поручения: обработчик обязан соблюдать конфиденциальность ПДн и обеспечивать их безопасность -> обработчик предоставляет услуги по защите ПДн -> обработчику нужна лицензия.

2. Средство анализа исходных кодов должно быть у каждого лицензиата (неясно только, нужен ли сертификат ФСТЭК). Зачем нужен анализатор кода каждому лицензиату  - тоже неясно, т.к. анализ кода - достаточно редкая и специализированная услуга. Большинство будет просто покупать анализатор как реквизит.  Примечательно, что у ЦБИ есть как раз такой продукт - анализатор кода АИСТ за 350 тыщ в год, который ставится на ОС Windows 9x/NT/2000.

Компания, которая выходит на рынок ИБ в России, сегодня вынуждена покупать в качестве реквизита такое говно, как Ревизор, Терьер и ФИКС , закупать анализатор спектра с поверенными антеннами, шумогенератор и шумомер, которые почти никогда не будут использоваться по назначению. Теперь вот нужно еще и покупать дорогущий анализатор кода... мда..

3. Требования к персоналу ужесточили. Теперь нужно 3 человека на основном месте работы с опытом от 3 до 7 лет (сейчас 2 с опытом 3-5 лет, совместительство допускается). Сейчас курсы переподготовки, если нет диплома по ИБ - это 74 аудиторных часа. Через год будет 360 аудиторных часов. Появилось требование об обязательном повышении квалификации раз в 5 лет.

В общем, спрос на спецов с профильным образованием будет расти, что хорошо :)
Alt text

Артем Агеев

root@itsec.pro:~#