Вокруг принятия лицензий от регуляторов на технологическую защиту информации всегда очень много шумихи. Соединено это часто с нехваткой отчетливых объяснений «что и с чем обедают». Приобретение лицензии, следовательно и права на некоторые виды работ для одних это представляется очень дорого (что действительно так и есть) для прочих это чересчур трудно и не ясно. А есть и часть тех организаций для которых данный тип работы считается их делом, к примеру для многих компаний-интеграторов в сфере ИБ. Следовательно без лицензии им никоим образом не справиться. ФСТЭК дал объяснений насчет процедуры принятия лицензии на ТКЗИ, о чем и речь пойдет в этой публикации.
Лицензия ТЗКИ ФСТЭК нужна компаниям, которые собираются заниматься технологической обороной секретной информации и/либо федеральной тайны в автоматических средствах, а также в обороняемых и выделенных комнатах. По другому можно сообщить, что приобретение лицензии ТЗКИ нужно компаниям, которым нужно сохранять секретную информацию от утечки по технологическим каналам. Это крайне значительный момент.И в настоящее время объясним почему.
Если организация не извлекает прибыль из работы по ТЗКИ, если данная деятельность не написана в учредительных бумагах (к примеру, в Распорядке), или если данная работы не проводится по приказу владельца информации либо клиента справочной системы в соответствие с трехглавым ФЗ-149, то лицензия ФСТЭК на ТЗКИ компании не требуется. Другими словами, безусловному большинству организаций, сейчас не требуется находить основания и заниматься юридическим крючкотворством, чтобы основать неимение лицензии ФСТЭК на ТЗКИ.
При этом работа СЗИ к лицензируемому виду работы не относится, что также доказывает не раз сформулированную позицию ФСТЭК. Впрочем, данная позиция вызывает вопросы.
Адресуемся к документу. По Распоряжению Правительства от 3 марта 2012 года номер79 «О лицензировании работы по технологической обороне секретной информации» это следующие виды работ:
а) контроль безопасности секретной информации от утечки по технологическим каналам в:
— средствах и системах информатизации;
— технологических средствах (системах), не обрабатывающих секретную информацию, а помещенных в комнатах, где она обрабатывается;
— комнатах со средствами (технологиями), доступными обороне;
— комнатах, созданных для ведения секретных переговоров (дальше — обороняемые здания);
б) контроль безопасности секретной информации от неразрешенного доступа и ее версии в средствах и системах информатизации;
в) сертификационные проверки на соответствие условиям по безопасности информации продукции, применяемой с целью обороны секретной информации (технологических средств обороны информации, предохраненных технологических средств обработки информации, технологических средств наблюдения производительности граней обороны информации, компьютерных (программно-технических) средств обороны информации, предохраненных компьютерных (программно-технических) средств обработки информации, компьютерных (программно-технических) средств наблюдения безопасности информации);
г) аттестационные проверки и аттестация на соответствие условиям по обороне информации:
— средств и систем информатизации;
— помещений со средствами (технологиями) информатизации, доступными обороне;
— обороняемых помещений;
д) проектирование в предохраненном выполнении:
— средств и систем информатизации;
— помещений со средствами (технологиями) информатизации, доступными обороне;
— обороняемых помещений;
е) установка, монтаж, проверки, ремонт средств обороны информации (технологических средств обороны информации, предохраненных технологических средств обработки информации, технологических средств наблюдения производительности граней обороны информации, компьютерных (программно-технических) средств обороны информации, предохраненных компьютерных (программно-технических) средств обработки информации, компьютерных (программно-технических) средств наблюдения безопасности информации).
Одно дело лицензию получить, а другое более принципиально ее также и оставить. Так как потерять ее даже на время — это большой урон для компании.
Пункт 5 ст.13.12 Кодекс об административных правонарушениях ставит обязанность за топорное несоблюдение требований, предположенных лицензией ФСТЭК: 1000-1500 рублей. и управленческое приостановление работы сроком до девяноста дней.
Что такое «топорное несоблюдение»? Это суждение и открывает рассматрвиаемое нами Распоряжение Правительства РФ от 3 марта 2012 г. N 79 «О лицензировании работы по технологической обороне секретной информации».
К подобным нарушениям относят:
1. Менее 2-х экспертов в штате компании с профильным образованием в сфере технологической обороны информации;
2. Истечение времени поверки оснащения ПЭМИН: т.к. тарелки, спектроанализаторы, генераторы гула и т.д. И при этим оснащением выпускались специальные работы. Делать поверку нужно каждый год!
3. Применение пиратских программ (в т.ч. ОС) на АРМ эксперта по ТЗКИ. Вообще любой не лицензионный текст вас сдаст.
4. Не продлен, например, ФИКC, Терьер, Контролер и т.д.
В большинстве случаев, лицензии на эти платформы вручаются на год. Будьте заботливы!
5. Технология производственного наблюдения прекратила отвечать эталону (к примеру, ISO 9001). (лишь если вы делайте сертификационные проверки).