На вопрос, каким требованиям должно соответствовать облачное решение по ИБ, ФСТЭК ответила, что нужна лицензия на деятельность по технической защите конфиденциальной информации. Не могу сказать, что это ново, но по крайней мере у ИБ-стартап появилась ясность относительно тех обременений, которые повлечет за собой запуск облачного ИБ-сервиса.
Ни действующие, ни новые требования к лицензиатам ФСТЭК, не будут дифференцированными и учитывать масштаб бизнеса лицензиата. Что стартап с двумя сотрудниками, что интегратор с 2-мя тысячами сотрудников — требования едины. Не очень позитивная новость для стартапов, относящихся к малым или микро-предприятиям.
Но зато не требуется контрольно-измерительное оборудования 🙂
Еще одна засада для стартапа — место осуществления лицензируемых видов деятельности. На квартире или в собственном доме это не допускается.
Последний вопрос касался возможности использования open source решений при создании облачного сервиса по ИБ, который планировалось затем сертифицировать/аттестовывать. Тут ФСТЭК похоже с этим еще не сталкивалась, судя по тому, что они говорят о наличии договора (если только GNU License рассматривать как оферту), гарантиях качества, наличия консультаций и техподдержки.
Вот такой ответ от ФСТЭК. Четко, по делу, но не всегда позитивно 🙁 Но таковы уж реалии нашего рынка. Посторонних в ИБ становится все меньше и меньше, ибо национальная безопасность под угрозой. Скоро введут новые требования к ИБ-аудиторам и пентестерам и жизнь станет совсем веселой…
Алексей, а что за "стартап по ИБ"? О нем ничего не сказано, какое у них направление деятельности? Не зная сути запроса сложно понять, на что получен ответ, и как его можно применить в повседневной деятельности безопаснику на службе в коммерческой организации.
У меня сложилось впечатление, что стартап создан исключительно с целью рассылки запросов в "органы" и публикации ответов из "органов".
Стартап занимается облачным ИБ-сервисом
Вот "облачным ИБ-сервисом" это что? Они обрабатывают в облаке чью-то конфиденциальную информацию, или предоставляют услуги по защите информации в облаке. Или делают что-то типа SIEM в облаке.
В последнем случае им никакие лицензии не нужны.
И предоставляют услуги и обрабатывают чужие данные
Интересно, а в других странах, т.н. партнерах наших, там что стартап в 2 человека, "занимающийся ИБ" может так легко попасть в список того, что имеют право закупать госорганы?
Надо различать место разработки софта (лицензия на РСЗИ) и место обработки конфиденциальной информации (лицензия на ТЗКИ). Разрабатывать софт можно и дома на самом деле (и не проверят), просто получив лицензию на какой-то адрес, удовлетворяющий требованиям ФСТЭК. А вот ЦОД, где будет облачный сервис функционировать — это точно не квартира.
Сергей, да, вполне может
Это называется: "Почувствуй себя создателем Lego, когда собрал домик из Lego". Просматривается чёткая подмена понятий "РСЗИ" и "ТЗКИ".
Куча организаций имеет ИТ-отдел ввиде отдельного юр. лица. Теперь что ли "Всем ТЗКИ!!! Налетай, подешевело!!!"?! А потом "ФСТЭК очень занят, ждите ответа"… Никому не лучше от этого письма…