Итак, почему я не считаю, что «мониторинг» и «сертификационные испытания» — это одно и тоже. На то есть несколько причин. Первая кроется в законодательстве, которое предшествовало принятию ПП-541. Хоть у нас часто и ругают законодателей в том, что их работа хаотични и не поддается логике, ФСТЭК в последнее время старается не допускать явных ляпов в этой сфере и следует легко прослеживаемой в ретроспективе концепции. Итак, в ноябре 2014-го года было принято Постановление Правительства №1149 с очень длинным и непростым названием — «Об аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, а также о внесении изменений в некоторые акты Правительства Российской Федерации в части оценки соответствия указанной продукции (работ, услуг)». В его исполнении ФСТЭК 10 апреля 2015-го года выпустила 33-й приказ «Об утверждении Правил выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности», в котором определяется, что органы по сертификации и испытательные лаборатории, занимающиеся сертификацией, подлежат аккредитации в ФСТЭК. Именно аккредитации, а не лицензированию. Поэтому необходимость лицензировать эту деятельность отпала — чужой все равно не выйдет на поляну сертификации, так как не пройдет фильтры ФСТЭК. И именно поэтому из ПП-541 ушел пункт про сертификационные испытания, который и был заменен на пункт про мониторинг.
Пойдем дальше и посмотрим, нет ли у нас где-нибудь какого-нибудь официального (это важно) мнения регулятора? Видимо Андрея не устроило то, что Дмитрий Шевцов из ФСТЭК на пленарной сессии SOC Forum сказал, что SOCам будет нужна лицензия, и ему нужно что-то более солидное. Вот оно. Это комментарии ФСТЭК на портале regulation.gov.ru на замечания к еще тогда проекту ПП-541. Если тезисно, то там написано следующее:
- Усиление требований к лицензиатам — это требование из перечня поручений Президента Российской Федерации от 21 октября 2015 г. № Пр-2172 по вопросу совершенствования защиты информации. То есть ни о какой либерализации и речи не идет, и никто и не планировал убирать лицензию для сертификаторов; как и оставлять компании, оказывающие услуги по ИБ, без внимания со стороны регулятора.
- Требования к лицензиатам повышаются. Это к вопросу о том, где взять квалифицированный персонал для мониторинга и откуда у небольшой фирмочки, занимающейся пентестами, свое помещение (или в долгосрочной аренде).
- Из проекта постановления исключено требование о наличии системы менеджмента информационной безопасности в связи с неурегулированностью вопроса о соответствии системы менеджмента информационной безопасности требованиям национальных стандартов. Это дословная фраза от представителя ФСТЭК. Видимо, сначала урегулируют, а потом узаконят требование оценки соответствия ISO 27001 🙂
Для реализации указанных требований операторам государственных информационных систем необходимо иметь силы и средства, включающие подготовленных специалистов в области защиты информации, а также наличие специальных средств защиты информации: средств управления информационной безопасностью и управления событиями безопасности; систем обнаружения вторжений; сканеров безопасности.
Приобретение и эксплуатация указанных средств влечет значительные финансовые затраты.
Учитывая тенденции к сокращению подразделений по защите информации в органах государственной власти, являющихся операторами государственных информационных систем, в настоящее время указанные операторы реализуют выполнение требований Приказа № 17 путем привлечения на договорной основе (аутсорсинга) коммерческих организаций, обеспечивающих создание для органов государственной власти центров мониторинга информационной безопасности.
Задачи этих центров состоят в информационном мониторинге государственных информационных систем и выдаче рекомендаций органам государственной власти по предупреждению и реагированию на инциденты информационной безопасности.
Качество таких услуг оказывает непосредственное влияние на уровень защищенности информации в государственных информационных системах, требования к которым установлены в соответствии с Федеральным законом
от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Оказание услуг по мониторингу информационной безопасности целесообразно включить в качестве вида работ, подлежащих лицензированию в рамках деятельности по технической защите конфиденциальной информации«.
На этом считаю для себя вопрос о необходимости получения лицензии ФСТЭК аутсорсинговым SOCам закрытым, ибо это позиция регулятора была им официально озвучена и на самом SOC Forum и за год до него, еще во время подготовки Постановления Правительства.
Правки в 79 ПП вступили в силу, теперь лицензиатам нужно заняться переоформлением лицензии, как минимум формально лицензируемые виды деятельности перефразированы, плюс добавились новые виды деятельности и изменились требования к самим лицензиатам в части штата сотрудников.