19 Августа, 2011

Лицензирование отменяется !? Новый проект постановления правительства о лицензировании деятельности по ТЗКИ

Александр Бондаренко
Свершилось, на сайте ФСТЭК опубликован проект Постановления правительства о лицензировании деятельности по технической защите конфиденциальной информации.

Скачать можно здесь . (за ссылку спасибо Алексею Краснову )

Самое интересное в этом документе в начале, а именно то, что же ФСТЭК (хотя нет, конечно же Правительство) считает деятельностью по технической защите конфиденциальной информации.

Сразу оговорюсь, что мой беглый анализ возможно будет содержать неточности, т.к. читать и правильно понимать наши нормативные документы - это особый талант :) . Итак....

"Под технической защитой конфиденциальной информации (не содержащей сведений, составляющих государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации) понимается комплекс выполняемых работ и (или) оказываемых услугпо ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней."

Ну ничего нового, комплекс работ или услуг... как же быть с использованием СЗИ для собственных нужд ?

"3. Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю (далее - лицензирующий орган)."

Тут вроде тоже без неожиданностей.

4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды выполняемых работ и (или) оказываемых услуг:

Оо, а вот это уже интересный финт ушами. Деятельность то получается лицензируется не вся.

а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в средствах и системах информатизации, технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается, помещениях со средствами (системами), подлежащими защите, помещениях, предназначенных для ведения конфиденциальных переговоров;

Это я понимаю как работы по проведению Э/М и акустических замеров с помощью специальной аппаратуры

б) контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации в средствах и системах информатизации, технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;

Хотя в западной литературе слово "контроль" равнозначно нашему "обеспечение", но тут мы все же говорим про наши документы и думается мне, что контроль опять же означает работы по проведению проверочных мероприятий с помощью специализированных программных и технических средств.

в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);

Тут думаю понятно о чем идет речь...

г) аттестация на соответствие требованиям по защите информации средств и систем информатизации; технических средств (систем), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для проведения конфиденциальных переговоров;

Тут тоже из текста ясно о чем речь...

д) проектирование объектов в защищенном исполнении: средств и систем информатизации; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения конфиденциальных переговоров;

Проектирование - термин широкий, но все же рядовые компании в рамках использования средств защиты для собственных нужд проектированием объектов в защищенном исполнении как правило не занимаются.

е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

Воотт.. самый непростой пункт. Вот тут, коллеги, интересно будет услышать и ваше мнение. Установка, монтаж.... и ремонт... этими вещами все же занимаются рядовые администраторы. Но с другой стороны здесь нет слова "эксплуатация", а значит если вы просто используете средства защиты, то под этот пункт не подпадаете, а уж вопрос с установкой, монтажом и ремонтом уверен, что можно будет как-нибудь хитро обойти (либо просто ФСТЭК не будет подходить к этим терминам "в лоб").

Каков же итог ? Если я все правильно понял, то получается, что большинство организаций (за исключением интеграторов, сертификаторов, аттестаторов и еще ряда других) выпадают из обязательного лицензирования по ТЗКИ в том числе в свете пресловутого 152-ФЗ. Ура, коллеги, прям не верится, что здравый смысл все же может восторжествовать.... (стучу по дереву).

P.S. Так как это пока только проект радоваться рекомендуется очень осторожно :)