Новые требования к лицензиатам ФСТЭК - Форум по вопросам информационной безопасности

Добрый день!
Я ничего не перепутал?
Теперь лицензиатам ФСТЭК необходимо иметь в штате (по основному месту работы) 3 сотрудника по И.Б. (руководитель+2 спеца (опускаю момент со стажем работы));
И самое интересное, помимо средств контроля эффективности защиты информации (ревизор, фикс и тп.) организация должна иметь средства контроля (анализа) исходных текстов программного обеспечения, стоимость которого составляет круглую сумму (например Анализатор исходных текстов "АИСТ-С" - на год стоит почти 350 т.р.).
Мне кажется, что такая финансовая нагрузка в виде 3 сотрудников ИБ + софт, будет крайне негативно сказываться на небольших фирмах, где иногда один сотрудник по ИБ сидит.

Ну во-первых Вы и до этих изменений, обязаны были иметь в штате сотрудников с профильным образованием осуществляющим деятельность по ТЗКИ, в изменении более конкретизировали требования к таким специалистам и установили периодичность повышения квалификации.

По поводу анализатора исходных текстов, он необходим если Вы осуществляете работы по "сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации)"

Если организация имеет лиц. ФСТЭК на разработку и производство средств защиты конфиденциальной информации, в том числе:
технических средств защиты информации;
защищенных технических средств обработки информации;
технических средств контроля эффективности мер защиты информации;
программных (программно-технических) средств защиты информации;
защищенных программных (программно-технических) средств обработки информации;
программных (программно-технических) средств контроля защищенности информации;

То она должна иметь анализатор исходных текстов? Так?
Ведь судя по ПП РФ от 15 июня 2016 г. N 541:

2. В Положении о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденном постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171 "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 11, ст. 1297):

в) пункт 4 изложить в следующей редакции:
"4. В случае если в качестве лицензирующего органа выступает Федеральная служба по техническому и экспортному контролю, лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление лицензируемого вида деятельности (далее - лицензия), являются:

в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 3 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:

программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

Или я тоже не так всё понял?

Евгений, по поводу анализатора исходных текстов имеется иное мнение
(из блога Артема Агеева) 2ой пункт
http://www.itsec.pro/2016/06/blog-post_28.html

Петр | 64985
Открываем "Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79", и смотрим какое оборудование, какие программы для каких видов работ необходимы и делаем выводы.

Средства статического анализа исходных текстов программ - в.4, в.5, в.6.

в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации:
1- технических средств защиты информации;
2- защищенных технических средств обработки информации;
3- технических средств контроля эффективности мер защиты информации;
4- программных (программно-технических) средств защиты информации;
5- защищенных программных (программно-технических) средств обработки информации;
6- программных (программно-технических) средств контроля защищенности информации).

Евгений, большое спасибо за информацию!
Я извиняюсь, имеется ли такой перечень под ПП РФ от 3 марта 2012 г. N 171 ?

Пытался найти, но нашёл только (Перечень технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения видов работ, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171)

И интересно, почему в ПП РФ от 3 февраля 2012 г. N 79 и в Административном регламенте нету ссылок на Перечень контрольно-измерительного и испытательного оборудования....

up

Уже известно с какого числа вступают эти требования?

Анатолий, собственно, как и написано в ПП РФ, по истечению 12 месяцев со дня его официального опубликования...

Анатолий, собственно, как и написано в ПП РФ, по истечению 12 месяцев со дня его официального опубликования...