суббота, 27 февраля 2016 г.

Лицензия на ТЗКИ: официальные разъяснения ФСТЭК


Вокруг получения лицензий от регуляторов на техническую защиту информации всегда много шумихи. Связано это зачастую с нехваткой четких разъяснений "что и с чем едят". Получение лицензии, а значит и права на определенные виды работ для одних это кажется дорого (что на самом деле так и есть) для других это слишком сложно и не понятно. Но есть и часть тех компаний для которых этот вид деятельности является их бизнесом, например для большинства компаний-интеграторов в области ИБ. А значит без лицензии им никак не обойтись. ФСТЭК дал разъяснений по поводу процедуры получения лицензии на ТКЗИ, о чем и пойдет речь в данной статье.

Лицензия ТЗКИ необходима организациям, которые намерены заниматься технической защитой конфиденциальной информации и/или государственной тайны в автоматизированных средствах, а так же в защищаемых и выделенных помещениях. По другому можно сказать, что получение лицензии ТЗКИ необходимо организациям, которым нужно защищать конфиденциальную информацию от утечки по техническим каналам. Это очень важный момент.И сейчас поясним почему.

Как писал наш коллега Алексей Лукацкий: Если организация не извлекает прибыль из деятельности по ТЗКИ, если эта деятельность не прописана в учредительных документах (например, в Уставе), либо если эта деятельности не осуществляется по поручению обладателя информации или заказчика информационной системы в соответствие с трехглавым ФЗ-149, то лицензия ФСТЭК на ТЗКИ организации не нужна. Иными словами, абсолютному большинству организаций, теперь не требуется искать основания и заниматься юридическим крючкотворством, чтобы обосновать отсутствие лицензии ФСТЭК на ТЗКИ.
При этом эксплуатация СЗИ к лицензируемому виду деятельности не относится, что также подтверждает не раз высказанную позицию ФСТЭК. Правда, эта позиция вызывает вопросы.


а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в:

-   средствах и системах информатизации;
- технических средствах (системах), не обрабатывающих конфиденциальную информацию, но    размещенных в помещениях, где она обрабатывается;
-    помещениях со средствами (системами), подлежащими защите;
- помещениях, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения);

б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);

г) аттестационные испытания и аттестация на соответствие требованиям по защите информации:
-     средств и систем информатизации;
-     помещений со средствами (системами) информатизации, подлежащими защите;
-     защищаемых помещений;

д) проектирование в защищенном исполнении:
-     средств и систем информатизации;
-     помещений со средствами (системами) информатизации, подлежащими защите;
-     защищаемых помещений;

е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).


Одно дело лицензию получить, но другое не менее важно ее так же и сохранить. Ведь потерять ее даже временно - это большой ущерб  для компании.

Так как же такое может произойти? Давайте, рассмотрим подробнее.

Пункт 5 ст.13.12 КоАП устанавливает ответственность за грубое нарушение условий, предусмотренных лицензией ФСТЭК: 1000-1500 руб. и административное приостановление деятельности на срок до девяноста суток.
К таким нарушениям относят
1. Менее 2-х специалистов в штате компании с профильным образованием в области технической защиты информации;
2. Истечение срока поверки оборудования ПЭМИН: т.к. антенны, спектроанализаторы, генераторы шума и т.д. И при этим оборудованием производились специализированные работы. Делать поверку необходимо ежегодно!
3. Использование пиратских программ (в т.ч. операционной системы) на АРМ специалиста по ТЗКИ. Вообщем любой не лицензионный контент вас сдаст.
4. Не  продлен, к примеру, ФИКC, Терьер, Ревизор и т.д.
Как правило, лицензии на эти программы выдаются на год. Будьте внимательны!
5. Система производственного контроля перестала соответствовать стандарту (например, ISO 9001).  (только если вы производите сертификационные испытания).



Так, что помним эти простые парвила и соблюдаем их!

Всем удачи!

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...