Задай вопрос ФСТЭК

Задай вопрос ФСТЭК

Мы продолжаем задавать вопросы, интересующие наших читателей и адресованные Федеральной службе по техническому и экспортному контролю лице ее представителя Игоря Васильевича Егоркина, кандидата технических , начальника отдела лицензирования и сертификации ФСТЭК России¹.

- Игорь Васильевич, отрасль информационной безопасности (ИБ) в России сильно конкурентной не назовешь. Бытует мнение, что многие российские компании-разработчики, чьи учредители, руководители, сотрудники являются выходцами из силовых структур (той же Гостехкомиссии, АПСИ, ФСБ, Минобороны), держатся за нынешнюю жесткую систему лицензирования и сертификации для того, чтобы не допу-с т и т ь конкуренции на российском рынке, затруднить вход на него и зарубежных игроков, и новых молодых компаний. Каков Ваш личный взгляд на эту проблему? И если она существует, намерены ли Вы что-то предпринимать в этом направлении?

- На мой личный взгляд, проблема надумана. Я не считаю, что существующие входные барьеры на рынок ИБ в виде сертификации и лицензирования чрезмерны и обременительны по сравнению с другими областями деятельности. Они как раз достаточны для того, чтобы отсеять спекулятивную и недолговечную компоненту участников рынка и не более. Другое дело, что действительно в динамике появления новых игроков на рынке ИБ наблюдается некоторая стагнация. Но вызвано это не избыточностью входных барьеров, а невысокой рентабельностью нашей наукоемкой области и неразвитостью массового потребления услуг в области защиты информации. Мы не стимулируем сбыт продуктов и услуг, не поддерживаем начинающие предприятия, более того, в бюджетной классификации нет строки расходов с условным наименованием "на защиту информации", поэтому, на мой взгляд, в целом деятельность в области И Б остается сравнительно малопривлекательной для серьезных инвестиций и бизнеса.

- Некоторые "горячие головы" в отрасли призывают отменить государственное лицензирование и сертификацию деятельности продуктов и систем в области ИБ, за исключением сферы, связанной с госпоставками и гостайной. Какова Ваша позиция по данному вопросу? В частности, зачем ФСТЭК сохранять бремя сертификации продуктов, предназначенных исключительно для коммерческого оборота?

- У этих "горячих голов" происходит смешение понятий и процессов, похоже, что они не совсем понимают, к чему призывают. Для начала необходимо четко отделить процедуру лицензирования от процедуры сертификации.

В соответствии с действующим законодательством разработка средств защиты информации (СЗИ), а также мероприятия и услуги по защите информации являются лицензируемыми видами деятельности.

Что же такое лицензия? Лицензия - это "специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю"² или "официальный документ, который разрешает осуществление на определенных условиях конкретного вида деятельности в течение установленного срока"³. Перечень лицензирующих органов определен Законом РФ "О государственной тайне" и постановлением Правительства РФ от 26 января 2006 г. № 45 "Об организации лицензирования отдельных видов деятельности". Причем этими органами могут быть только органы исполнительной власти субъектов Российской Федерации и федеральные органы исполнительной власти. Таким образом, об "отмене государственного лицензирования" говорить не приходится.

Теперь о сертификации. Мы никогда и не требовали сертификации СЗИ, предназначенных исключительно для коммерческого оборота и не предназначенных для работ с информацией ограниченного доступа. В системе сертификации ФСТЭК России проходят испытания средства, предназначенные для защиты сведений, составляющих государственную тайну, или сертификация которых требовалась не так давно отмененным "трехглавым" законом, или сертификация которых требуется действующим законодательством (ФЗ "О кредитных историях", например). Что касается всех остальных средств защиты, то они либо сертифицируются в нашей системе добровольно, либо сертифицируются в Системе добровольной сертификации средств ИТ по требованиям И Б "АйТиСертифика".

- Каково Ваше личное отношение к возложению большинства нынешних функций вашего отдела на саморегулируемые организации? Возможно ли это в России? Будет ли ФСТЭК что-то предпринимать для стимулирования этого процесса или, напротив, будет этому процессу препятствовать?

- Существует логично обоснованная парадигма эволюции регулирования экономических отношений, апробированная во всем мире: постепенный переход от жесткого непосредственного государственного управления к опосредованному влиянию на ситуацию в подконтрольной области через объединения участников рынка. Такое движение началось несколько лет назад параллельно с разработкой проекта ФЗ "О саморегулируемых организациях". Развивались процедуры добровольной сертификации в области безопасности ИТ, были разработаны и применяются стандарты предпринимательской деятельности в области безопасности. Однако сейчас рассмотрение Госдумой закона отложено, да и в практической области применения возможностей некоммерческих организаций в целях саморегулирования существует некий идейный застой, вызванный, на мой взгляд, кажущимся несоответствием между усилением роли государства в рыночном регулировании и возможностью делегирования части функций некоммерческим организациям. Хотя на самом деле саморегулирование госрегулированию не мешает, просто оно осуществляется по-другому, опосредованно. Кроме того, начало активной работы в этом направлении невозможно без определенного переосмысления роли ФСТЭК России, развития экономически ориентированной регулятивной функции. При таком подходе существует масса направлений, которые были бы интересны и ассоциациям, и регулятору: это уже упомянутая добровольная сертификация и стандартизация услуг, потребительское рейтингование участников рынка, реализация механизмов гаранти рования качества работ, обоснование ценовой политики, определение технических перспектив развития, разработка критериев оценки надежности поставщиков, объединение усилий бизнеса для участия в процедурах международной стандартизации.

- Будет ли когда-нибудь заменена аттестация автоматизированных систем на их сертификацию или это нецелесообразно?

- По моему личному мнению, в обозримом будущем нет. Дело в том, что результатом сертификации является документ (сертификат соответствия), подтверждающий соответствие сертифицированного изделия требованиям по безопасности информации, а результатом аттестации - аттестат соответствия - разрешение на обработку информации на аттестованном объекте. Требования, предъявляемые при аттестации систем, гораздо шире, чем требования, предъявляемые при сертификации продукта.

¹ Во время подготовки редакцией данного номера журнала нам стало известно, что Егоркин Игорь Васильевич завершил государственную службу во ФСТЭК России и перешел на новое место работы в Службу безопасности ОАО "Газпром"

² ФЗ от 8 августа 2001 г. № 128-ФЗ "О лицензировании отдельных видов деятельности".

³ Постановление Правительства РФ от 15 апреля 1995 г. №333 "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны".