matiev250.jpgДжабраил Матиев, руководитель направления защиты персональных данных по коммерческой части компании ReignVox

Более того - считалось, что лицензированию подлежат исключительно те организации, чьим основным видом деятельности является техническая защита конфиденциальной информации.

Например, весьма устойчивым было мнение о том, что если организация проводит мероприятия по защите для собственных нужд – иметь соответствующую лицензию ФСТЭК ей не обязательно, если же целью компании является оказание услуг по защите информации – наличие лицензии становится абсолютно необходимым.

На сегодняшний же день ситуация приобрела меньшую многозначность и такова, что для обеспечения безопасности персональных данных любому юридическому лицу необходимо получить лицензию ФСТЭК России. Это подтверждает и официальное письмо ФСТЭК №240/2/2520 от 18 июня 2010 г. заместителю министра здравоохранения и социального развития РФ. Данное письмо апеллирует к пункту 1 статьи 49 части первой Гражданского Кодекса РФ, в соответствии с которым отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии). Пункт 11 части 1 статьи 17 Федерального закона от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» устанавливает, что и деятельность по технической защите конфиденциальной информации относится к лицензируемым видам. Этот же закон не допускает какого бы то ни было разделения деятельности по ТЗКИ на ведущуюся в собственных интересах или в коммерческих целях. Операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Таким образом, даже если деятельность по технической защите конфиденциальной информации не является основной для компании, а осуществляется в рамках обеспечения безопасности бизнес-процессов в целом, компания должна иметь соответствующую лицензию ФСТЭК России, подтверждающую её правомочность вести подобные работы.

В частности, этот момент касается и кредитно-финансовых организаций, чья деятельность подразумевает работу с огромными массивами конфиденциальных данных, требующих технической защиты, под которой принято понимать «комплекс мероприятий и \ или услуг по защите информации от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий в целях её уничтожения, искажения или блокирования доступа к ней».

Статус лицензиата ФСТЭК требует соответствия

Порядок получения лицензии на ТЗКИ определяется положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденном постановлением Правительства Российской Федерации от 15 августа 2006 г. № 504. В соответствии с ним любая компания, претендующая на обладание лицензией, должна соответствовать ряду определенных требований. Например, в её штате должно быть не менее двух специалистов, имеющих высшее профессиональное образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации. Также, соискатель лицензии должен на любом законном основании (включая и право собственности) обладать помещениями для осуществления лицензируемой деятельности, соответствующими техническим нормам и требованиям по технической защите информации. Ещё одним из требований, которому необходимо соответствовать соискателю лицензии, является наличие у него производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством РФ метрологическую проверку (калибровку), маркирование и сертификацию. А также - нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю. Компания, претендующая на статус лицензиата ФСТЭК России, также должна использовать только прошедшие процедуру оценки (иными словами – аттестованные и сертифицированные по требованиям ИБ) в соответствии с законодательством РФ средства защиты информации и обрабатывающие её автоматизированные системы. Предназначенные же для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и баз данных могут использоваться только на основании соответствующего договора с их правообладателями.

Собственность, аренда или аутсорсинг?

Если требования, предъявляемые к претенденту на обладание лицензией на ТЗКИ, однозначны и четко определены, то сам процесс лицензирования все же имеет некоторые варианты. Каждый из которых имеет право на существование и выбор в каждом конкретном случае организация делает самостоятельно, отталкиваясь от собственных потребностей и возможностей ( как финансовых, так и временных).

Вариант первый - самостоятельное получение лицензии. В этом случае компания, используя собственные активы (сотрудников и финансовые средства), готовит нормативные документы, приобретает контрольно-измерительное оборудование, обучает или нанимает специалистов и т.д. Среднестатистический бюджет в данном случае составит сумму от полутора миллионов рублей, а временные затраты – не менее полугода. Второй вариант, позволяющий сократить финансовые затраты (но такое сокращение является весьма незначительным) – представляет собой сочетание составляющих приобретенных компанией в собственность и взятых в аренду. Таким образом, в аренду может быть взято контрольно-измерительное оборудование, нормативная литература или, к примеру, необходимое по требованиям количество специалистов достигается на основании заключенных с ними договоров на оказание услуг. Но, повторюсь, этот вариант позволяет весьма незначительно сократить расходы и не позволяет сократить общее время, которое будет затрачено на получение лицензии.

Третий вариант – привлечение специализированной организации – компании лицензиата ФСТЭК. Использование так называемого сервиса лицензиата исключает необходимость компании обладать необходимой для получения лицензии компетенцией или наличием специалистов по защите информации. С точки зрения Закона использование сервиса лицензиата считается вполне обоснованным: в соответствии с постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781, если оператор ИСПДн заключает договор на проведение соответствующих мероприятий в части защиты информации (ПДн) с лицензиатом ФСТЭК России, иметь лицензию ему не обязательно.

Сервис лицензиата = долгосрочное сотрудничество

Сервис лицензиата включает в себя аутсорсинг систем защиты заказчика (консультирование заказчика при настройках средств защиты) и актуализацию всей внутренней нормативной документации по защите персональных данных (последнее – в качестве дополнительной опции). В итоге получается, что сам заказчик непосредственно системой защиты не занимается, а потому и не должен получать лицензию. Работы же ведутся компанией лицензиатом на основании заключенного с нею договора.

Говорить о более или менее стандартном перечне работ, входящих в услугу сервиса лицензиата – не вполне правильно: в каждом конкретном случае перечень работ индивидуален и зависит от возможностей заказчика, определяющих то, какую часть работ он способен выполнить самостоятельно.

В числе возможных составляющих среднестатистического перечня работ, выполняемых лицензиатом можно выделить следующие:

  • оказание методической помощи в ходе государственного контроля и работ в области устранения возможных замечаний, полученных в ходе такой проверки;
  • формирование необходимого пакета документов;
  • актуализация документов и выполнение части мероприятий по защите ПДн;
  • разработка технических заданий, подготовка экспертного заключения и определение требований по защите информации;
  • специалисты заказчика в случае сотрудничества с компанией-лицензиатом ФСТЭК принимают участие при внедрении средств защиты информации и оценки соответствия информационных систем требованиям по безопасности персональных данных;
  • в рамках сервиса лицензиата также может оказываться и необходимая техническая поддержка, но обычно данный пункт компании стараются выполнять самостоятельно.

Стоимость привлечения сторонней организации может варьироваться в зависимости от перечня тех услуг, которые она оказывает по договору, т.к. часть мероприятий оператор все же может выполнить самостоятельно. Именно за счет правильного распределения сфер деятельности между оператором и лицензиатом достигается максимальный баланс в отношении возможных затрат на техническую защиту конфиденциальной информации. В усредненном варианте стоимость услуг, оказываемых в рамках сервиса лицензиата, составит от одного - полутора миллионов рублей в год. Формулировка «в год» имеет место быть, т.к. сервис лицензиата – обычно приобретает форму не «разового оказания услуг», а полноценного сотрудничества в течение определенного заключенным договором временного отрезка (от полугода и более). В соответствии с условиями заключенного договора, компания-лицензиат берет на себя обязанность поддерживать работы по технической защите конфиденциальной информации заказчика на должном уровне, внося необходимые коррективы в случае каких-либо изменений отечественного законодательства, требований ИБ, условий IT-инфраструктуры, бизнес-процессов организации и т.д.

Ответ на вопрос «Какой формат предпочтительнее?» для каждой конкретной организации будет индивидуальным, так как в этом случае необходимо учитывать общую специфику деятельности компании, её организационную и кадровую структуру. Но, так или иначе, наиболее удачными (с точки зрения оптимального баланса между использованными организационными ресурсами и полученным результатом) оказываются первый и третий варианты, то есть – самостоятельное получение лицензии и использование сервиса лицензиата. А вот уже выбор между ними должен совершаться на основании четкого понимания бизнес-целей, задач и возможностей организации. В случае, когда в числе основных видов деятельности компании в числе прочих указывается и «оказание услуг по защите конфиденциальной информации», самостоятельное получение лицензии на ведение ТЗКИ является непременным условием для полноценной бизнес-активности компании. В тех случаях, когда деятельность по ТЗКИ для организации является не основной, а лишь обеспечивающей основную - приемлем и один и второй вариант развития событий. Для наиболее верного выбора в данном случае следует оценить именно возможности самой организации: так, к примеру, компаниям медицинского или образовательного секторов, где традиционно IT-составляющая в структуре организации представлена в несколько усеченном варианте – правильнее будет воспользоваться сервисом лицензиата. Для кредитно-финансовых структур (банков) при отсутствии возможностей (или желания) получать лицензию на ТЗКИ самостоятельно верным решением также будет привлечение к работам сторонней компании-лицензиата ФСТЭК России.

 

Справка: ReignVox – российская компания, специализирующаяся на инновационных проектах и разработках в области информационных технологий и обеспечении их информационной безопасности.

Целью создания компании является оказание услуг по обеспечению защиты персональных данных в соответствии с требованиями закона «О персональных данных» ФЗ-152 от 27.07.2006 г. и построению комплексных систем защиты информации.

ReignVox является членом межрегиональной общественной организации «Ассоциация защиты информации» (МОО «АЗИ»), ассоциированным членом «Инфокоммуникационного союза» (Infocommunication Union), а также членом Ассоциации региональных банков России.

Компания ReignVox обладает значительным опытом успешной реализации проектов по защите персональных данных в крупных коммерческих банках. В числе её клиентов НОТА-Банк, Внешэкономбанк, «ЦентроКредит», «Темпбанк», «Банк Сосьете Женераль Восток», «Русфинанс Банк» и др.