Ответ ФСТЭК стартапу по ИБ в части лицензирования деятельности по ТЗКИ

Законодательство
Упомянутый позавчера стартап по ИБ направлял вопросы не только в Минкомсвязь, но и в ФСТЭК России. И вот на днях был получен оттуда ответ, который, на мой взгляд, гораздо более адекватный и взвешенный, чем у ИТ-регулятора. Это не отписка, а ответ по существу.

На вопрос, каким требованиям должно соответствовать облачное решение по ИБ, ФСТЭК ответила, что нужна лицензия на деятельность по технической защите конфиденциальной информации. Не могу сказать, что это ново, но по крайней мере у ИБ-стартап появилась ясность относительно тех обременений, которые повлечет за собой запуск облачного ИБ-сервиса.

Следующий вопрос был связан с тем, что облачный провайдер привлекает для ряда работ внешних подрядчиков, которым передаются ПДн для обработки или хранения. Стартап спрашивал — нужна ли привлекаемой организации лицензия ФСТЭК на ТЗКИ. Нужна!

Ни действующие, ни новые требования к лицензиатам ФСТЭК, не будут дифференцированными и учитывать масштаб бизнеса лицензиата. Что стартап с двумя сотрудниками, что интегратор с 2-мя тысячами сотрудников — требования едины. Не очень позитивная новость для стартапов, относящихся к малым или микро-предприятиям.

Но зато не требуется контрольно-измерительное оборудования 🙂

Еще одна засада для стартапа — место осуществления лицензируемых видов деятельности. На квартире или в собственном доме это не допускается.

Последний вопрос касался возможности использования open source решений при создании облачного сервиса по ИБ, который планировалось затем сертифицировать/аттестовывать. Тут ФСТЭК похоже с этим еще не сталкивалась, судя по тому, что они говорят о наличии договора (если только GNU License рассматривать как оферту), гарантиях качества, наличия консультаций и техподдержки.

Вот такой ответ от ФСТЭК. Четко, по делу, но не всегда позитивно 🙁 Но таковы уж реалии нашего рынка. Посторонних в ИБ становится все меньше и меньше, ибо национальная безопасность под угрозой. Скоро введут новые требования к ИБ-аудиторам и пентестерам и жизнь станет совсем веселой…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Дмитрий

    Алексей, а что за "стартап по ИБ"? О нем ничего не сказано, какое у них направление деятельности? Не зная сути запроса сложно понять, на что получен ответ, и как его можно применить в повседневной деятельности безопаснику на службе в коммерческой организации.

    У меня сложилось впечатление, что стартап создан исключительно с целью рассылки запросов в "органы" и публикации ответов из "органов".

    Ответить
  2. Алексей Лукацкий

    Стартап занимается облачным ИБ-сервисом

    Ответить
  3. Дмитрий

    Вот "облачным ИБ-сервисом" это что? Они обрабатывают в облаке чью-то конфиденциальную информацию, или предоставляют услуги по защите информации в облаке. Или делают что-то типа SIEM в облаке.

    В последнем случае им никакие лицензии не нужны.

    Ответить
  4. Алексей Лукацкий

    И предоставляют услуги и обрабатывают чужие данные

    Ответить
  5. Сергей Городилов

    Интересно, а в других странах, т.н. партнерах наших, там что стартап в 2 человека, "занимающийся ИБ" может так легко попасть в список того, что имеют право закупать госорганы?

    Ответить
  6. Tomas

    Надо различать место разработки софта (лицензия на РСЗИ) и место обработки конфиденциальной информации (лицензия на ТЗКИ). Разрабатывать софт можно и дома на самом деле (и не проверят), просто получив лицензию на какой-то адрес, удовлетворяющий требованиям ФСТЭК. А вот ЦОД, где будет облачный сервис функционировать — это точно не квартира.

    Ответить
  7. Алексей Лукацкий

    Сергей, да, вполне может

    Ответить
  8. Unknown

    Это называется: "Почувствуй себя создателем Lego, когда собрал домик из Lego". Просматривается чёткая подмена понятий "РСЗИ" и "ТЗКИ".
    Куча организаций имеет ИТ-отдел ввиде отдельного юр. лица. Теперь что ли "Всем ТЗКИ!!! Налетай, подешевело!!!"?! А потом "ФСТЭК очень занят, ждите ответа"… Никому не лучше от этого письма…

    Ответить