четверг, 28 апреля 2011 г.

Лицензии от ФСТЭК России: глаза боятся руки делают!

Давно хотел поговорить на эту тему, особенно в разрезе действий разработчиков программного обеспечения.
Существует два основных типа лицензий в области технической защиты конфиденциальной информации (ТЗКИ).
Первый тип - лицензия на осуществление деятельности в области ТЗКИ (о том как получить и что для этого нужно, читаем тут).
Второй тип - лицензия на разработку средств ТЗКИ (о том как получить и что для этого нужно, читаем тут).

Первый тип лицензии вызывает процессы активных обсуждений на различных форумах. Главное противостояние происходит вокруг термина "для собственных нужд" не буду развивать тему все можно почитать тут. Единственное, что хочу отметить - обсуждение и непонимание организациями необходимости владения лицензией ТЗКИ исходит из противоречивых ответов регулятора ФСТЭК России, в одном регионе он отвечает что надо лицензию, в другом регионе отвечает что не надо. Что делать в таком случае организации? Самый правильный выход из этой ситуации - официальный запрос в Ваше региональное отделение ФСТЭК Росссии. Далее ожидаете ответ и исходя из него решаете вопрос о получении/не получении лицензии на ТЗКИ.

Второй тип лицензии - для разработчиков софта. Процесс получения такой лицензии вообще не составляет какой-то сложности. Все, что нужно сделать это собрать все организационные документы (устав, ЕГРЮЛ......), документы подтверждающие право владения или аренды помещения, справка из бухгалтерии о том, что у вас на балансе есть ПК и софт, копии дипломов и сертификатов специалистов, заявление на получение лицензии, список нормативки, которой владеет организация из них пару тройку ДСП и ВПЕРЕД. По мне так ни чего сложного :), что там народ кричит про затраты!? Софт есть итак - ведь на чем-то разработчик уже разрабатывает софт. Аналогично с помещением, ПК и специалистами.

Есть мысль о том, что можно разделить лицензию ТЗКИ на две лицензии: 1. Лицензия на осуществление деятельности по защите конфиденциальной информации от НСД. 2. Лицензия на деятельность по ТЗКИ.
1. Для получения лицензии по защите от НСД указать требования по наличию специалистов, софта ну и пусть останутся всякие бюрократические штучки.
2. Для  получения лицензии ТЗКИ указать требования по наличию специалистов, оборудования и т.д.
Дальше можно говорить о том, что в гос. органах должны быть две лицензии, через введение обязательных требований по защите конфи от утечки по техническим каналам, а всем остальным достаточно "защиты от НСД". Те кто считают угрозы утечки информации по техническим каналам - актуальными, должны получать и ту и другую лицензию.
Большинство организаций обосновывают не актуальность утечки информации по тех. каналам, так зачем им покупать оборудование и аттестовывать АРМы? - это бесполезные и ненужные активы в организации.

Комментариев нет: