3 февраля 2012принято новое постановление правительства РФ о лицензировании деятельности по технической защитеконфиденциальной информации .
По сравнению спредыдущим вариантом ПП снимается ряд проблем, о которых я писал в одной из заметок.
Под техническойзащитой конфиденциальной информации понимается:
· выполнение работ по ее защите от несанкционированного доступа, от утечки по техническим каналам, а такжеот специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней;
· оказание услугпо ее защите от несанкционированного доступа, от утечки по техническимканалам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокированиядоступа к ней.
То есть подопределение попадает как самостоятельное выполнение мероприятий ИБ, так иоказание услуг. Но далее, в пункте 4, приводится ограничение видов работ которыепопадают под лицензирование:
· контроль защищенностиконфиденциальной информации от утечки по техническим каналам (обычновыполняется в рамках аттестации);
· контроль защищенности конфиденциальной информации отНСД (выполняется в рамках аттестации или аудита ИБ);
· сертификационные испытанияСЗИ;
· аттестационные испытания иаттестация;
· проектирование в защищенномисполнении (выполняется первоначально при внедрении например СЗПДн и в процессеэксплуатации ИСПДн если происходят существенные изменения или меняютсятребования к защите);
· установка, монтаж, испытания СЗИ (эксплуатациясюда не включена, но как правило у любой компании происходят изменения в ИСПДн,появляются новые АРМ на которые надо установить СЗИ)
Таким образом,эксплуатация СЗИ исключена из лицензированных видов работ.
Но, например любойоператор ПДн должен регулярно проводить контроль защищенности и ему периодическинеобходимо переустанавливать СЗИ при каких-то сбоях или устанавливать СЗИ нановый АРМ.
В таком случаекаждый оператор ПДн должен либо получать лицензию на ТЗКИ либо ежегодно заключатьдоговор на обслуживание и контроль защищенности СЗИ.