Лицензия ФСТЭК на ТКЗИ и ПП 541 - Форум по вопросам информационной безопасности

Адрес документа: http://lib.itsec.ru/forum.php?sub=12262&from=0

К списку тем | Добавить сообщение


Автор: Евгений | 64795 03.08.2016 21:19
Здравствуйте коллеги!

В связи с принятием постановления Правительства РФ от 15 июня 2016 г. N 541
17 июня 2017 года в постановление Правительства Российской Федерации от 3 февраля 2012 г. N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" вносятся изменения в частности касающиеся стажа.

Соответственно интересует, а организации, получавшие лицензию до вступления ПП 541, подпадают ли под новые изменения? или как сказать "закон обратной силы не имеет"?

Автор: Евгений. | 64799 04.08.2016 10:12
Здравствуйте.

Это так понимаю требования к соискателю.

Только единственное, что специалистом теперь нужно будет, по-моему, раз в пять лет проходить переобучение. (подтверждать свою компетентность)

Если кто хочет переоформить или получить лицензию ФСТЭК и ФСБ России, рекомендую компанию ООО "Центр Безопасности Информационных Систем".

Совсем не давно для нас получили лицензию в минимальный срок и по договору отчитываются лицензией.

Всем Добра!

Автор: Евгений (автор темы) | 64802 04.08.2016 11:15
В ПП 541 написано такие же требования к лицензиатам, что к соискателям + повышение квалификации. (т..е. образование по ИБ + 3 года стажа в области проводимых работ).

Автор: Илья | 64803 04.08.2016 11:41
постановление вступает в силу в течении 12 месяце со дня официального публикования! соответственно насколько я понимаю летом 2017 года

Автор: Евгений (автор темы) | 64819 04.08.2016 19:51
Ну я как и написал что вступает в силу 17 июня 2017 года

Прошло несколько месяцев

Автор: Виталий, СОВИТ | 70007 24.03.2017 18:28
На сайте ФСТЭК есть Проект Перечня актов, содержащих обязательные требования, соблюдение которых оценивается при проведении мероприятий по контролю при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации:
http://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye
В этом перечне всего 3 документа, по которым будут проверять лицензиата (в том числе и компанию, уже имеющую лицензию ФСТЭК)
- ПП от 3 февраля 2012 г. № 79 (и в июне 2017 года изменения вступят в силу);
- перечень НПА и ГОСТ (редакции обновляются);
- перечень КИО (есть новая редакция).
Получается, если компания попадает под плановую проверку ФСТЭК, то ее будут проверять по новым требованиям.
Аналогичная ситуация была и с лицензиями ФСБ на криптографию после вступления в силу нового Положения о лицензировании № 313. К старым лицензиатам стали применять новые требования, если лицензиаты попадали под плановую или внеплановую проверку.
Хотя там ситуация была более спорная: наименование лицензируемой деятельности изменилось, а вот у ФСТЭК наименование лицензируемой деятельности осталась практически то же.

Автор: Андрей | 70229 28.03.2017 17:22
Виталий, а может получиться ситуация, компания становится на ступеньку уходящего поезда, получает лицензию тзки по старым требованиям, а уже через условно полгода-год к ней приходят с проверкой (плановой/внеплановой) и ставят вопрос об отзыве лицензии?)

Также интересен момент со стажем сотрудников. В пп.541 написано "а также инженерно-технических работников (не менее 2 человек), имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет"

Ключевая фраза, "в области проводимых работ". Имеется ввиду 2 человека по каждому виду деятельности, контролю защищенности, проектированию, внедрению, и т.д.? Чем и как это будет подтверждаться? Должностью в труд книге? Должностной инструкцией с прошлых мест работы?
Или же речь идет про человека, который работал у лицензиата, с такими же открытыми работами как и у соискателя лицензии? В таком варианте подходят 2 инженера...

Прошла пара недель

Автор: Arogo | 70988 16.04.2017 21:03
Подниму тему.
В изменились требования к лицензируемой организации, в частности потребовали средств контроля (анализа) исходных текстов программного обеспечения;

Представители ФСТЭК озвучили, что надо закупать, так как наш орган по аттестации производством СЗИ не занимается, смысла в наличии дорогостоящего ПО нет.

Как выходить из ситуации?

Автор: sekira | 70999 17.04.2017 12:27
Или покупать ПО или переоформлять лицензии по ТЗ ГТ без разработки СЗИ?

Автор: Виталий, license.sovit.net | 71153 18.04.2017 11:21
Андрею:
Через полгода не могут, как минимум через год после выдачи лицензии (Админ регламент - приказ 89 от 20.07.2012):
3.5. Основанием для включения проверки лицензиата в ежегодный план является:
- истечение одного года со дня принятия решения о предоставлении лицензии или о переоформлении лицензии;
- истечение трех лет со дня окончания проведения ФСТЭК России (территориальным органом ФСТЭК России) последней плановой проверки лицензиата.
В плане проверок на 2017 год 24 компании. А лицензиатов ФСТЭК по ТЗКИ более 1800, по разработке СЗКИ - более 900. Можете рассчитать свои шансы:)

Обычно дается время на устранение недостатков, в это время ищете и берете в стаж сотрудников, подходящих по квалификационным требованиям.
По стажу пока практика не наработана. У ФСБ практика была такая:
- название должности должно быть примерно подходящим (ИТ или ИБ);
- если название должности вызывает сомнения (например, менеджер по продажам, разработчик и т. п.), то помогала заверенная должностная инструкция с предыдущего места работы;
- у работодателя должна была иметься лицензия ФСБ с необходимыми открытыми видами работ.
Будет логично, если поначалу будет подходить стаж просто в ТЗКИ или разработке СЗКИ (соответствующее название должности или лицензия компании-работодателя).

to Arogo:
В перечне КИО на сайте ФСТЭК от 16 декабря 2016 г.
http://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye
средств контроля (анализа) исходных текстов программного обеспечения не нашел.

Нашел упоминание только в перечне для лабораторий:
http://fstec.ru/component/attachments/download/889
Но это уже не ТЗКИ, а сертификация.

Вывод: для лицензии на ТЗКИ наличие средств контроля (анализа) исходных текстов программного обеспечения не требуются, пока ФСТЭК не изменить перечень КИО на своем сайте.

Автор: Евгений | 71157 18.04.2017 13:50
Виталий, license.sovit.net | 71153
"средств контроля (анализа) исходных текстов программного обеспечения не нашел."
Откройте 3 абзац, подпункта Д, пункта 10 постановления правительства 79 с изменениями от 15.06.2016

Автор: Виталий, license.sovit.net | 71158 18.04.2017 14:24
Евгений,
согласен, требования по наличию:
- измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку);
- программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;
в ПП № 79 появляются в июне этого года, но только по отношению к переоформлению лицензии (п. 10 Положения).
Для соискателей (п. 8 Положения) такого требования нет, если Консультант не врет.
Возможно, привнесении изменений произошла техническая ошибка.

Практика такова, что ФСТЭК конкретизирует, какие именно приборы и ПО нужны в перечнях КИО у себя на сайте.
На данный момент ни в административных регламентах, ни в перечне КИО на сайте ФСТЭК средства контроля (анализа) исходных текстов программного обеспечения не упоминаются.

Поэтому:
для лицензии на ТЗКИ наличие средств контроля (анализа) исходных текстов программного обеспечения не требуется, пока ФСТЭК не изменит перечень КИО на своем сайте.

Просмотров темы: 9266


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100