Евгений Воробьев, Тутова Елизавета - Старшие консультанты по информационной безопасности компании АО «Кросс технолоджис» |
Введение В текущих реалиях пандемии, когда все отрасли бизнеса подвергаются серьезным испытаниям, руководители компаний задумываются об экономии средств и ресурсов - и в первую очередь под сокращение финансирования попадают такие направления деятельности внутри организации, которые на первый взгляд не приносят прямого явного дохода: в нашем случае - это подразделение информационной безопасности. И пока все силы специалистов ИБ брошены на организацию безопасного удалённого доступа, остальные проекты или замораживаются на неопределенный срок или от них отказываются вовсе. В этой статье мы расскажем, из каких шагов состоит лицензирование деятельности по технической защите конфиденциальной информации и по разработке и производству средств защиты конфиденциальной информации. Стоит отметить, что рынок насыщен предложениями консалтинговых услуг в части помощи получения указанных лицензий, однако зачастую качество таких услуг не соответствует их стоимости, а исполнители не дают никаких гарантий. Изучение приведенного ниже материала поможет вам не только выбрать добросовестного поставщика услуг и оценить адекватность предлагаемой цены и сроков, но и решить, какие пункты вы в целях экономии можете реализовать самостоятельно, а что всё же необходимо отдать на аутсорс. Кому необходимы лицензии В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» № 99-ФЗ от 04.05.11г. деятельность, связанная с разработкой и производством средств защиты конфиденциальной информации (СЗИ), а также технической защитой конфиденциальной информации (ТЗКИ) подлежит лицензированию. Соответственно, юридические лица и индивидуальные предприниматели, оказывающие услуги и работы в рамках ТЗКИ и занимающиеся разработкой и производством СЗИ, должны быть лицензированы на соответствие законодательству РФ*. Рекомендуем вам ознакомиться с перечнем работ и услуг, перечисленных в Постановлении Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации» № 79 от 03.02.12г. и в Постановлении Правительства РФ «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» № 171 от 03.03.12г. Если нынешние или планируемые к внедрению направления деятельности вашей компании попадают под указанные перечни - необходимо приступить к получению (актуализации) лицензий. Также лицензия на разработку и производство СЗИ необходима в случае, если вы планируете проводить сертификацию таких средств по требованиям ИБ.. Обратите внимание, что вам не нужно получать лицензию по ТЗКИ, если ваша компания планирует осуществлять защиту конфиденциальной информации только для собственных нужд. Однако, хотим обратить ваше внимание, что если вы планируете оказывать услуги по защите информации для своих дочерних компаний и/или компаний группы (в т.ч. мониторинг ИБ, построение SOC, сдача в аренду центра обработки данных (ЦОД) - вам также в обязательном порядке необходима лицензия на ТЗКИ: т.к. ваши дочерние компании и/или компаний группы являются отдельными (по отношению к вам) юридическими лицами и с точки зрения регулятора вы оказываете им платные услуги. Наказание за осуществление лицензируемого вида деятельности без оформления необходимых лицензий весьма суровое - штрафа и приостановление деятельности на срок до 90 суток. _____________________________ *В данной статье не рассматриваются вопросы связанные с разработкой и производством шифровальных (криптографических) средств (СКЗИ), а также вопросы связанные с работами и услугами в сфере защиты государственной тайны. Регулятор в области лицензирования Выдачу и контроль за соблюдением лицензионных требований в данной области осуществляет регулятор - Федеральная служба по техническому и экспортному контролю (ФСТЭК России) - федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности. Алгоритм действий Итак, давайте подробнее разберем шаги, позволяющие вам успешно стать лицензиатом ФСТЭК России. Шаг 0. Назначение ответственных. Как правило, ответственным назначают работника отдела ИБ, реже ИТ, но зачастую и юриста. Мы рекомендуем назначить ответственным работника ИБ (назовём его руководителем проекта - РП), но обязательно издать приказ по компании о старте работ и об обязанности всех подразделений содействовать ему в данных работах. Результаты работ по каждому шагу, а также появляющиеся в процессе работ изменения и дополнения, необходимо фиксировать в протоколах и утверждать у РП и руководителя организации. Итак, РП необходимо выполнить: Шаг 1. Изучение требований. Изучение документации, регулирующей получение лицензий, актуальные версии которой можно скачать с официального сайта ФСТЭК России. Для ТЗКИ:
Для разработки и производства СЗИ:
Шаг 2. Определение перечня работ и услуг. На данном этапе необходимо чётко сформулировать, чего хочет компания: зачастую добавление в уже оформленную лицензию «забытых» видов услуг требует такого же цикла работ, как и получении лицензии заново. Подумайте и обсудите совместно с руководством компании, что необходимо сейчас и в перспективе: возможно, это построение SOC и предоставление услуг по мониторингу, построение систем защиты конфиденциальной информации (КИ), систем защиты персональных данных (ПДн) и систем защиты государственных информационных система (ГИС), аттестация объектов информатизации или же компания хочет производить средства защиты информации, направленные на защиту указанной выше информации. Выбирать работы и услуги необходимо из перечня, данного в 79-ПП, а в случае выбора разработки и производства СЗИ - определиться также с классами СЗИ на основании 171-ПП. Шаг 3. Расчёт стоимости внутреннего проекта. На данном этапе мы рекомендуем РП расписать этапность работ и трудозатраты на их выполнение (не забудьте включить в них ваши часы, уже потраченные на изучение требований по лицензированию). Определитесь с исполнителями, которые понадобятся в помощь к РП (пока выбирайте из своих работников, а позже сможете принять решение, кого будет «дешевле» нанять у сторонней организации, осуществляющей консалтинг в этой области) и их ролями. Этапность работ и, соответственно, статьи расходов могут быть следующими:
В среднем, с момента принятия решения о необходимости получения (актуализации) лицензий и до подачи пакета документов в ФСТЭК России проходит от 6 месяцев. Стоит иметь в виду, что некоторые этапы, например, поиск персонала и помещения могут затянуться на неопределённый срок, профессиональная переподготовка с обязательным получением документа об образовании государственного образца занимает несколько месяцев, поставка НМД и КИО может занять до 2-х месяцев, а некоторые лицензируемые работы и услуги по ТЗКИ, например, мониторинг ИБ требуют дополнительного проектирования и внедрения весьма дорогостоящих комплексов защиты информации. Именно после расчёта стоимости внутреннего проекта, оценки своих возможностей и загрузки по иным проектам, можно поднять вопрос о поиске компании-консультанта: обратите внимание, что такая компания сама должна быть лицензиатом ФСТЭК в части ТЗКИ. Шаг 4. Планирование сроков. На данном этапе РП необходимо составить календарный план, исходя из перечисленных выше работ, согласовать и утвердить его с руководителем компании, а также интегрировать в него план сторонней организации в случае, если ей будет передана часть работ. Шаг 5. Проведение работ. Итак, компания определилась с видами работ и услуг и/или с разработкой и производством необходимых СЗИ, ответственные назначены и бюджет согласован. Можно приступать к основным работам. Одним из основных требований является наличие у заявителя помещения, где будет осуществляться лицензионная деятельность, защищаемого помещения для обсуждения КИ и автоматизированной системы для обработки КИ. Забегая вперед, скажем, что все требования являются главными, но есть требования наиболее приоритетные. Это связано с ответственностью за нарушение несоблюдения данных требований, ведь грубым нарушением при подаче документов для оформления лицензий будет являться несоблюдение тех самых приоритетных требований. Указанные ЗП и АС должны быть аттестованы организацией - лицензиатом ФСТЭК России и иметь аттестаты соответствия требованиям безопасности, предъявляемых регулятором и законодательством в области защиты информации в РФ. Здесь стоит обратить внимание на следующие важные моменты:
Следующим главным требованиям является наличие соответствующих сотрудников. Основные требования, предъявляемые к сотрудникам прописаны в 79-ПП и 171-ПП. Сотрудники должны числиться в штате компании по основному месту работы и иметь документы об образовании государственного образца. В случае прохождения дополнительных курсов повышения квалификации в учебных заведениях, учебные программы таких курсов должны быть согласованы с ФСТЭК России. Наличие программного обеспечения и контрольно-измерительного и испытательного оборудования (КИО) является также главным требование для будущего лицензиата. Скачать перечни оборудования для лицензий можно с официального сайта ФСТЭК России. В данных перечнях подробно описаны, какие КИО и ПО должны быть в наличии под те или иные задачи в рамках лицензирования. Стоит отметить, что все измерительное оборудование из данных перечней должно быть поверено специальным аккредитованным центром и иметь свидетельства о поверке и калибровке. В дальнейшем, поверку нужно осуществлять раз в год в зависимости от срока действия поверочного свидетельства. Без национальных стандартов, нормативно-методических документов, указанных в перечнях, лицензию не получить. Здесь также есть несколько нюансов:
Отдельно стоит отметить необходимость наличия системы производственного контроля как для разработки, так и для производства СЗИ. Решением для соблюдения данного требования будет наличие системы менеджмента качества (СМК). Необходимо разработать комплект документов и внедрить СМК в компании. Проходить сертификацию на соответствие ISO 9001 необходимости нет. Шаг 6. Формирование комплекта документов. После проведения всех необходимых работ можно приступать к формированию финального комплекта документов (сканирование оригиналов и заполнение заявлений, перечней и описей), который удобно разделить на группы. Например, мы делим на: ● Заявления, перечни, описи (оригиналы); ● Учредительные документы (копии); ● Квитанции об оплате государственной пошлины (оригиналы); ● Сведения о работниках (копии); ● Сведения о ЗП (копии); ● Аттестационные документы на АС и ЗП (копии); ● Сведения о наличии НМД (копии); ● Накладные на АРМ и ПО, входящие в состав АС (копии); ● Накладные, формуляры, сертификаты на КИО, СЗИ, СКЗИ, СКЗ (копии); ● Сведения о системе менеджмента качества (копии). Затем остаётся распечатать все копии, сшить, приложить оригиналы, заверить всё у руководителя организации и направить заказным письмом с уведомлением о вручении (или отвезти лично) в ФСТЭК России. Через несколько дней позвонить им и узнать присвоенный входящих номер вашего пакета. После чего останется подождать указанные в административных регламентах сроки - 45 дней (только не уточняется рабочих или календарных...), а затем позвонить и узнать судьбу вашего заявления: при получении замечаний - исправить их в установленные сроки и, наконец, получить заветные бланки лицензий! Ответственность после получения лицензий Говоря о деятельности в области ТЗКИ и разработки и производства СЗИ, нельзя не упомянуть об ответственности за нарушение лицензионных требований. В случае грубых нарушений требований и предоставление ненадлежащих работ и услуг компанией лицензиатом, ФСТЭК вправе назначить внеплановую проверку, приостановить действие лицензии и аннулировать ее. А также лицензиат может быть привлечен к административной ответственности. Под грубым нарушением лицензионных требований понимается невыполнение лицензиатом требований, предусмотренных подпунктами «а», «в» и «г» пункта 6 79-ПП и подпунктами «а» и «в» - «е» пункта 6 и подпунктами «а», «б», «ж» - «и» пункта 7 171-ПП. Выводы Подводя итоги, мы бы хотели ещё раз акцентировать внимание на самом важном:
Авторы: Евгений Воробьев, Тутова Елизавета - Старшие консультанты по информационной безопасности компании АО «Кросс технолоджис». АО «Кросс технолоджис», являясь лицензиатом ФСТЭК России, осуществляет системную интеграцию в области ИТ и ИБ, разрабатывает комплексные решения по автоматизации технологических и бизнес-процессов, включая проектирование ЦОДов, сетей передачи данных, информационно-вычислительных комплексов, а также предлагает услуги по контролю и защите конфиденциальной информации. Мы готовы сделать проект «под ключ» или взять на себя часть работ: наши консультанты имеют обширный опыт в получении лицензий ФСТЭК и ФСБ в банках и интеграторах, в том числе в подготовке к лицензированию: помощь по выбору работ и услуг, расчёт трудозатрат и стоимости проекта, построение систем мониторинга ИБ, аттестация рабочих мест и помещений. АО «Кросс технолоджис» Адрес: 125284, Москва, Ленинградский пр-т., 31А, стр.1. |
Анализ на аффилированность Журнал "Директор по безопасности" №11 2013г. Все, кто работал с системой СПАРК-Интерфакс (далее &nd... | Построение комплексной системы управления непрерывностью бизнеса Построение комплексной системы управления непрерывностью бизнеса – сложный, долгий и ресурсоемкий п... |
Подбор оборудования для систем охранного видеонаблюдения Существует множество объектов, которые по тем или иным причинам могут нуждаться в установке систем в... | Откатоемкие должности Изучив имеющиеся источники по теме «откаты», мы поняли, что в литературе происходит опре... |
©2008-2024 Журнал «Директор по безопасности»
Все права защищены
Копирование информации данного сайта допускается только при условии установки ссылки на оригинальный материал.
Проекты ИД «Отраслевые ведомости»: