Буквально на днях было подписано Постановление Правительства РФ №79 «О лицензировании деятельности по технической защите конфиденциальной информации» (доступно для просмотра тут ). Долго все мы ждали этого документа. Я уже ранее писал свои комментарии относительно проекта этого документа. Посмотрим что же мы имеем в новом документе. Сразу оговорюсь, что многое прояснилось, но (как это обычно бывает) остается поле для трактований и злоупотреблений.
Что же теперь должно подвергаться лицензированию:
а) контроль защищенности конфиденциальной информации от утечки по техническим каналам
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации
д) проектирование в защищенном исполнении средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений;
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Лично меня в этих пунктах смущают следующие вещи:
б) контроль защищенности конфиденциальной информации...
е) установка .... средств защиты...
Под пункт е) вполне можно подвести установку антивирусных средств собственной службой ИБ. А что такое контроль защищенности ? Это использование сканеров уязвимости или аудит ИБ ?
Посмотрим на применительную практику и будем надеяться, что все же злоупотреблений со стороны регуляторов мы не увидим.
Под пункт е) вполне можно подвести установку антивирусных средств собственной службой ИБ. А что такое контроль защищенности ? Это использование сканеров уязвимости или аудит ИБ ?
Посмотрим на применительную практику и будем надеяться, что все же злоупотреблений со стороны регуляторов мы не увидим.
