14.02.2017

Конференция ФСТЭК: новые требования к лицензиатам

После вчерашней заметки, я бы хотел обратиться к более конкретным темам, прозвучавшим на конференции ФСТЭК. Одна из них - новые требования к лицензиатам ФСТЭК, описанные в 541-м Постановлении Правительства, и вступающие в силу в июне этого года.

Установлены непростые требования к персоналу. Пока это звучит как на каждый вид лицензируемой деятельности/работ нужно по 2 человека с трехлетним стажем. Причем прописан он должен быть в трудовой книжке. Хотите вы, например, предлагать услуги SOC, вынь да положь аналитика с соответствующей записью в трудовой да еще и исследователя вредоносной активности (ну или опять аналитика) также с записью в трудовой (помимо руководителя лицензируемого вида деятельности). Ну это вроде как логично - хочешь заниматься лицензируемой деятельностью, будь добр иметь соответствующий персонал. Хорошо, что требуется всего двое, а не 6 - для посменной работы. Но дальше начинается самое интересное. Вот хотите вы оказывать еще и услуги по пентесту или, куда его относят в ФСТЭК, контролю защищенности, и вам нужно еще 2 человека, у которых в трудовой написано, что они занимались контролем защищенности. То есть уже четыре человека и руководители. И так на каждый вид работ, которым вы хотите заниматься. В принципе, все это логично и укладывается в распоряжение Президента об усилении требований к лицензиатам, но далеко не все компании смогут выполнить новые требования - останутся только крупные компании.

Но… допустим занимались вы мониторингом ИБ на работе и могли бы рассчитывать, что ваша квалификация и стаж подойдут ФСТЭК при рассмотрении документов на лицензирование. Но в трудовой книжке у вас написано традиционное - “инженер по технической защите информации”, “техник по защите информации”, “главный специалист по технической защите информации” или “администратор по обеспечению безопасности информации”. А почему нет? Именно так должности звучат в приказе Минздравсоцразвития от 22 апреля 2009 г. № 205 «Об утверждении единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел «квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации».


И как понять, что техник или главный специалист занимались мониторингом ИБ? Только из должностной инструкции. И вот тут очередная засада - хорошо, если речь идет о компании с давней историей, в которой сотрудники работают по много лет. Представить органу по лицензированию такие инструкции не представит большой сложности. А если компания новая или она наняла новых сотрудников, которые на прошлом месте занимались мониторингом, но в трудовой у них все равно написано “техник по защите информации”? И как убедиться органу по лицензированию, что техник был аналитиком, а не настройщиком средств защиты? Только по заверенной должностной инструкции, которую сотрудник должен получить на старом месте работы… если оно еще существует… и если ему эту инструкцию выдадут.

Еще интересный вопрос. Когда руководитель отдела лицензирования ФСТЭК рассказывал о лицензионных требованях к соискателям, у меня возник вопрос по квалификации и стажу руководителя, который не имеет специализированного образования в области ИБ. Кстати, что это означает? Вот у меня в дипломе написано, что я инженер-математик со специализацией по защите информации. У меня какое высшее образование? По направлению в области ИБ или по направлению в области математических и естественных наук, инженерного дела, технологий и технических наук? Если вдруг я перейду на руководящую должность, мне понадобится 5 лет стажа или 3? И вновь возникает вопрос с тем, что у меня должно быть написано в трудовой книжке, по которой ФСТЭК будет определять мои компетенции. Кстати, интересно, много ли в России руководителей, у которых есть пятилетний стаж управления SOCом (мониторингом ИБ), а ведь без него лицензии не получить?

Интересная ситуация со сроками лицензирования. По озвученной на конференции версии ФСТЭК податься на получение лицензии вы можете только с момента вступления в силу соответствующего Постановления Правительства №541. И понятно, что должно пройти определенное время прежде чем ФСТЭК проверит все документы (включая и квалификационные требования к персоналу). И как тогда осуществлять деятельность тем, кто ее уже оказывает, в период между подачей на лицензию и ее получением? Незаконно? А если в этот момент прокурорская проверка нагрянет? Опять одни вопросы.

А ведь лицензиатам на новый вид деятельности по мониторингу еще нужно аттестовать свою инфраструктуру по требованиям к ГИС К1, а для этого выполнить требования по защите к таким ГИС, закупить оборудование и программные средства, заключить соответствущие договора. А Постановление вступает в силу в июне, а список требований к обязательному оборудованию появился на сайте ФСТЭК только в январе. Успеют ли?

Понятно, что это все ФСТЭК делает не по своей воле - у них есть распоряжение Президента России по усилению требований к лицензиатам, но некоторые вопросы можно было бы проработать заранее более внимательно.

ЗЫ. А еще меня удивило число лицензиатов ФСТЭК в России. Я никогда не думал, что у нас столько разработчиков средств защиты информации.


4 коммент.:

Александр Германович комментирует...

Ну так "усилить требования к лицензиатам" это и значит сделать их трудновыполнимыми и менее понятными.

Алексей Лукацкий комментирует...

Так я и не спорю :-)

Артем Филюшкин комментирует...

т.е. если группа лиц хочет организоваться и предоставлять услуги пентеста то им, в соответствии с новыми требованиями, необходимо иметь в своем составе 2х человек с профильным образованием (по ИБ) и опытом от 3 х лет в тестировании на проникновения (другой опыт в ИБ в данном случае не котируется? или допустим один из сотрудников сертифицированный сетевик, или админ), плюс аттестованное помещение? И в случае, если все требования удовлетворены, выдается лицензия на деятельность?

Алексей Лукацкий комментирует...

Типа да