Итоговые впечатления от выступления ФСТЭК на ТБ форуме.
Положительные эмоции вызвало только:
1. Наличие молодых кадров ФСТЭК, активно участвующих в дискуссиях.
2. Готовность к публичному диалогу у ФСТЭК.
3. Однозначный и четкий ответ про ГИС у Госкорпораций, что к внутренним ИС не относятся требования 17 приказа в обязательном порядке.
4. Однозначный и четкий ответ, что обязательно прикладывать к заявлению на лицензирование мониторинга аттестат «К1» ГИС. Позиция ФСТЭК принципиально жесткая.
А вот все остальное опечалило:
1. Публично признан «картельный сговор». ФСТЭК открыто признает, что все действия координирует с избранными крупными ИБ компаниями. (Это прозвучало и в основной части от Лютикова и в последующих разделах про пентесты и мониторинг).
2. Никакой однозначности ответов и определенности решений. Даже по применению МЭ по старым требованиям – официально на сайте опубликован запрет на производство и поставку на сайте ФСТЭК, а разрешение в виде писем по запросу или устных выступлений на форумах. И обещание опубликовать информационные сообщения. Вопрос по пентесты – и опять устные комментарии не совпадают с формулировками в документах. Вопрос про определение «мониторинга» и кто попадает под требования лицензирования – отсылают к гостовским определениям, которые никак не проясняют реальную позицию регулятора. Спрашиваешь про срок подачи заявления на лицензирование и опять полная неопределенность. Задал вопрос про обязательность разделения проектирования и аттестации, так и здесь – скорее всего разные юридические лица, но возможно, что мы вообще отменим это требование. Нам надо еще подумать. А мне как договора на конкурсы готовить?
3. Отдельный вопрос про требования к персоналу. Да, однозначно 3 человека. Да, однозначно прописаны требования к квалификации. А как быть с стажем? Зачем взяли формулировку от лицензии ФСБ на СКЗИ? Там все просто – есть ОКЗ, приказы и должностные инструкции. А с ТЗКИ как быть? Получается, что вообще на каждый вид лицензионных работ нужно по 2 человека. Особенно с руководящим стажем острый вопрос. Записи в трудовой книжке ничего не скажут, должностные инструкции я могу только по своей организации предоставить. Мне теперь всех специалистов, которые меньше 3-х лет проработали в МОЕЙ организации, направлять на прежние места работы за справками или заверенными копиями должностных инструкций?
4. Обещают разработать и опубликовать методические указания по оформлению лицензии по новым требованиям. Так сразу оговариваются, что постараются их утвердить до вступления в силу поправок. И что делать коммерческим организациям? ФСТЭК не имеет полномочий давать индульгенции на период, пока организации не получат лицензии. А организации даже не понимают, как заявление подать. Вот фактический расчет - за 4 месяцев до наступления ответственности я узнаю какие КИО необходимо закупить, даже пусть успею конкурсы провести и установить. Теперь мне еще надо спроектировать СЗИ по «К1» ГИС, для чего еще провести закупку «железа». Заключить договора на установку и настройку СЗИ, договор на аттестацию. А потом еще на аттестованную систему мониторинга установить отдельные средства мониторинга, в соответствии с требованиями 17 приказа. И когда я смогу приложения к заявлению подготовить? И что я буду прокуратуре объяснять за оказание услуг по договору без лицензии?
Положительные эмоции вызвало только:
1. Наличие молодых кадров ФСТЭК, активно участвующих в дискуссиях.
2. Готовность к публичному диалогу у ФСТЭК.
3. Однозначный и четкий ответ про ГИС у Госкорпораций, что к внутренним ИС не относятся требования 17 приказа в обязательном порядке.
4. Однозначный и четкий ответ, что обязательно прикладывать к заявлению на лицензирование мониторинга аттестат «К1» ГИС. Позиция ФСТЭК принципиально жесткая.
А вот все остальное опечалило:
1. Публично признан «картельный сговор». ФСТЭК открыто признает, что все действия координирует с избранными крупными ИБ компаниями. (Это прозвучало и в основной части от Лютикова и в последующих разделах про пентесты и мониторинг).
2. Никакой однозначности ответов и определенности решений. Даже по применению МЭ по старым требованиям – официально на сайте опубликован запрет на производство и поставку на сайте ФСТЭК, а разрешение в виде писем по запросу или устных выступлений на форумах. И обещание опубликовать информационные сообщения. Вопрос по пентесты – и опять устные комментарии не совпадают с формулировками в документах. Вопрос про определение «мониторинга» и кто попадает под требования лицензирования – отсылают к гостовским определениям, которые никак не проясняют реальную позицию регулятора. Спрашиваешь про срок подачи заявления на лицензирование и опять полная неопределенность. Задал вопрос про обязательность разделения проектирования и аттестации, так и здесь – скорее всего разные юридические лица, но возможно, что мы вообще отменим это требование. Нам надо еще подумать. А мне как договора на конкурсы готовить?
3. Отдельный вопрос про требования к персоналу. Да, однозначно 3 человека. Да, однозначно прописаны требования к квалификации. А как быть с стажем? Зачем взяли формулировку от лицензии ФСБ на СКЗИ? Там все просто – есть ОКЗ, приказы и должностные инструкции. А с ТЗКИ как быть? Получается, что вообще на каждый вид лицензионных работ нужно по 2 человека. Особенно с руководящим стажем острый вопрос. Записи в трудовой книжке ничего не скажут, должностные инструкции я могу только по своей организации предоставить. Мне теперь всех специалистов, которые меньше 3-х лет проработали в МОЕЙ организации, направлять на прежние места работы за справками или заверенными копиями должностных инструкций?
4. Обещают разработать и опубликовать методические указания по оформлению лицензии по новым требованиям. Так сразу оговариваются, что постараются их утвердить до вступления в силу поправок. И что делать коммерческим организациям? ФСТЭК не имеет полномочий давать индульгенции на период, пока организации не получат лицензии. А организации даже не понимают, как заявление подать. Вот фактический расчет - за 4 месяцев до наступления ответственности я узнаю какие КИО необходимо закупить, даже пусть успею конкурсы провести и установить. Теперь мне еще надо спроектировать СЗИ по «К1» ГИС, для чего еще провести закупку «железа». Заключить договора на установку и настройку СЗИ, договор на аттестацию. А потом еще на аттестованную систему мониторинга установить отдельные средства мониторинга, в соответствии с требованиями 17 приказа. И когда я смогу приложения к заявлению подготовить? И что я буду прокуратуре объяснять за оказание услуг по договору без лицензии?
Пост не ради критики ФСТЭК, а как видение ситуации обычного специалиста, которому поставлена задача переоформить лицензию ТЗКИ. Для меня картина выглядит «.. а теперь со всем этим, мы попробуем взлететь». Видимо, просто очень преувеличенные ожидания были от форума. Вот и сильное чувство разочарования. Определенности по лицензированию не появилось.
Комментариев нет:
Отправить комментарий