Изменения в порядке лицензирования деятельности по защите информации

17 июня 2017 года, т. е. уже на этой неделе, вступают в силу изменения в порядке лицензирования деятельности по технической защите конфиденциальной информации и по разработке средств защиты информации. Обе лицензии выдает ФСТЭК России, он же осуществляет государственный контроль и надзор над лицензиатами. Изменения коснутся юридических лиц и индивидуальных предпринимателей как планирующих получить лицензии ФСТЭК, так и уже обладающих такими лицензиями.

Сотрудники должны быть в штате на основном месте работы. Инженеров должно быть строго не менее двух. Фактически эти требования предъявлялись и ранее, но теперь все официально. Для руководителя по ТЗКИ и инженерно-технического персонала установили требования к стажу — минимум 3 года в области проводимых работ по лицензируемому виду деятельности. Для руководителя по разработке СЗИ минимальный стаж — 5 лет. Если образование не профильное, то требования растут. Также для всего персонала, задействованного в работах и услугах по ТЗКИ и разработке СЗИ, устанавливается обязательное повышение квалификации не реже одного раза в 5 лет.

«Сертификационные испытания» исключили как вид деятельности. Добавили «мониторинг информационной безопасности». Изменение затронет тех, кто планирует или уже оказывает услуги по мониторингу информационной безопасности.

В связи с появлением нового вида работ по мониторингу информационной безопасности дополнен перечень оборудования, необходимого для осуществления лицензируемой деятельности. Для того чтобы получить лицензию ТЗКИ с правом выполнения работ по мониторингу информационной безопасности необходимо иметь следующее оборудование:

• средства (системы) контроля (анализа) защищенности информационных систем, сертифицированные ФСТЭК;
• замкнутые среды предварительного выполнения программ («песочницы»);
• средства управления информацией об угрозах безопасности информации;
• средства управления событиями безопасности информации, сертифицированные ФСТЭК;
• средства управления инцидентами информационной безопасности;
• средства защиты каналов передачи данных, сертифицированные ФСБ;
• системы защиты информации информационных систем, используемых для мониторинга информационной безопасности, соответствующие требованиям ИБ, применяемым к государственным информационным системам 1 класса.

Т. е. при построении системы, автоматизирующей деятельность по мониторингу информационной безопасности, теперь необходимо использовать сертифицированные средства управления событиями безопасности. Также необходимо реализовать весь комплекс мероприятий по защите информации согласно 17-му Приказу ФСТЭК, в том числе включая такие меры, как использование сертифицированных средств защиты информации и аттестацию автоматизированной системы.

Остальные изменения в документах носят косметический характер.

Для тех компаний, которые обладают лицензиями ФСБ в области криптографии, по сути, ничего не изменится. Требования, которые предъявляет ФСТЭК к сотрудникам, не слишком отличаются от требований ФСБ. Тяжелее всего придется компаниям, оказывающим услуги по мониторингу информационной безопасности. Для выполнения новых условий потребуются существенные капиталовложения и последующие операционные затраты на поддержание аттестованной системы.