Лицензия ТЗКИ
На портале программ нормативных актов выложен незаметный документ с незаметным заглавием: «О внесении перемен в определенные акты Правительства России по вопросам лицензирования автономных типов работы», который при этом касается как раз нашей с вами темы, а конкретнее вопросов лицензирования работы по технологической обороне секретной информации (ПП-79).
Самое важное, что рекомендуется поменять, — в очевидной фигуре установить идея, что лицензия для снабжения своих юрлица либо персонального бизнесмена не нужно. Если данный документ воспримут в такой редакции, то наконец будет поставлена точка в вопросе — нужно либо нет приобретать лицензию на ТЗКИ для обороны своей информации (к примеру, при реализации утверждений ФЗ-152).
А что же касается тех, кто предлагает услуги по обороне информации 3-им лицам, их свежий проект расположения коснется полностью. Среди инноваций:
Условие лицензии на ТЗКИ во время проведения прогноза ИБ. Другими словами все SOCи и иже с ними вызовут принятия аналогичной лицензии от регулятора. Если интересует фирма с лицензией ТЗКИ пройдите по ссылке.
Хорошо написаны условия к квалификации и числу штата у лицензиата.
Оснащение, нужное для проведения лицензионных работ, сейчас может быть лишь в собственности лицензиата. Больше никакой аренды.
Условие присутствия системы маркетинга ИБ в соответствие с условиями государственных стереотипов. Другими словами, сейчас все лицензиаты ФСТЭК должны у себя осуществлять ISO 27001. Что любопытно, при подаче бумаг на приобретение лицензии нужно представить копии бумаг, доказывающих содержание такой системы маркетинга. Что это за бумаги? Сертификат соответствия, сделанный BSI либо другим органом по сертификации?
Что можно сообщить в роли резюме по этому плану нормативного акта. ФСТЭК снимает обременения с тех, кто занимается обороной для себя (а конкретнее ставит точку в долгих конфликтах о потребности приобретать лицензию для своих нужд). И это хорошо. С иной стороны, условие иметь свое оснащение улучшает порог вхождения в данный бизнес (оснащение дорогое). А условие иметь сертификат по 27001 вообще значительно сужает количество вероятных игроков данного рынка, оставляя лишь тех, кто возможно осознает, что и для чего он делает. «Старперам от аттестации» больше не место в данной области.
Вторая часть проекта распоряжения посвящена внесению перемен в ПП-171, посвященное лицензированию работы по подготовке средств обороны секретной информации. Здесь перемены схожи с вышеперечисленными:
Хорошо написаны условия к квалификации и числу штата у лицензиата.
Оснащение, нужное для проведения лицензионных работ, сейчас может быть лишь в собственности лицензиата. Больше никакой аренды.
Содержание системы маркетинга качества (ISO 9000), и реализацию эталона (пока проекта) по безопасному программированию (SDLC).
Фактически, главное изменение — последнее. Ранее содержание сертификата соответствия ISO 9000 не требовалось при получении лицензии на подготовку средств обороны. С одной стороны это положительный момент, в связи с тем что с рынка уйдут фирмы-однодневки, принявшие решение на волне импортозамещения по-быстрому снять денежных средств с помощью производства какой-то фальшивки.
С иной — условие сертификации системы маркетинга качества вводит за скобки нарождающиеся стартапы, которые не могут инвестировать в данную публикацию расходов пока не реализуют довольно числа собственных решений. А реализовывать они их могут лишь платным фирмам, которым не нужно сертификация средств обороны (сертификат вполне может быть выдан на самом деле лишь лицензиату). Таким образом решение неопределенное, однако любопытное.