Новое постановление правительства по лицензированию ТЗКИ

Новое постановление правительства по лицензированию ТЗКИ
Буквально на днях было подписано Постановление Правительства РФ №79 «О лицензировании деятельности по технической защите конфиденциальной информации» (доступно для просмотра тут ).  Долго все мы ждали этого документа. Я уже ранее писал свои комментарии относительно проекта этого документа. Посмотрим что же мы имеем в новом документе. Сразу оговорюсь, что многое прояснилось, но (как это обычно бывает) остается поле для трактований и злоупотреблений. 

Что же теперь должно подвергаться лицензированию:

а) контроль защищенности конфиденциальной информации от утечки по  техническим каналам
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации; 
в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации); 
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации 
д) проектирование в защищенном исполнении средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений; 
е) установка, монтаж, испытания, ремонт средств защиты информации (технических  средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Лично меня в этих пунктах смущают следующие вещи:

б) контроль защищенности конфиденциальной информации...
е) установка .... средств защиты...

Под пункт е) вполне можно подвести установку антивирусных средств собственной службой ИБ. А что такое контроль защищенности ? Это использование сканеров уязвимости или аудит ИБ ?

Посмотрим на применительную практику и будем надеяться, что все же злоупотреблений со стороны регуляторов мы не увидим. 
Alt text

Чем страшны "Алхимик", "Евангелие" и "Глубина мудрости”? Подробнее об этом и других новостях кибербезопасности в новом выпуске Security-новостей на нашем Youtube канале.

Александр Бондаренко

Блог Александра Бондаренко