понедельник, 22 августа 2011 г.

На собственные нужды надейся, а сам не плошай

Думаю большинство уже в курсе того, что на сайте ФСТЭК России появился проект документа "О лицензировании деятельности по технической защите конфиденциальной информации". Позитивный анализ этого документа можно увидеть тут, а сдержанный - тут.

Анализ всего документа я делать не буду, а выскажусь только по поводу п.4 е):
"При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды выполняемых работ и (или) оказываемых услуг:
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации)."

Я читаю этот пункт так: лицензия необходима для осуществления работ по "установке программных средств защиты", "установке программно-технических средств защиты" и т.д. Когда я подставляю "программные средства защиты = антивирус или МЭ или DLP или IDS....." то вижу, что лицензия нужна всем - от мала до велика.

А что такое программные средства защиты? Внутренние механизмы защиты Windows - это программные средства защиты? Внутренние механизмы защиты сертифицированной версии 1С - это программные средства защиты и т.д.?

В сухом остатке: я могу соглашаться или не соглашаться с нашим законодательством, но исполнять его надо :(.

5 комментариев:

toparenko комментирует...

>Внутренние механизмы защиты Windows - это программные средства защиты?

Если они выполняют функции определенные для СЗИ - да

Сергей комментирует...

Т.к. получать лицензию на ТЗКИ для большинства операторов мягко скажем дорого, остается привлекать лицензиатов-интеграторов. Все ясно - плати! Либо сразу и много, либо постепенно и по чуть-чуть. Итог тот же - обдираловка, причем оператор вынужден делать это за счет клиента - субъекта. Хочешь чтобы твои ПДн были защищены по требованиям регуляторов - плати!

Сергей Ерохин комментирует...

>toparenko, вот и докатились до абсурда :), получается любая организация, которая использует внутренние функции Windows для защиты, например ПДн, должна иметь лицензию ТЗКИ на установку Windows.

>Сергей, согласен что дорого + бессмысленно. Какая экономическая выгода владения такой лицензией для обычного оператора?! Никакой. Думаю, что можно питать надежды на отраслевых регуляторов: ЦБ, ОНПФ и т.д., которые выпустят и согласают рекомендации по обеспечению безопасности ПДн без необходимости в получении лицензии.

Сергей комментирует...

2 Сергей Ерохин
Надежда слабая. Второй раз (СТО БР) такое не пропустят. Эпопея с подменой ФЗ тому свидетельство, уж больно кусок лакомный. Организуют громкие утечки, выяснится, что у оператора не было лицензии, прикроют (приостановят) деятельность для острастки. Технология откатана.

toparenko комментирует...

2Сергей

Даже без утечек - см. как ФСБ работает (я вроде давал эту ссылку) - http://fz-152.org/forum/viewtopic.php?f=67&t=204