Укороченная презентация для SOC Клуб (29 марта 2017) про лицензию ТЗКИ на мониторинг ИБ

1. Лицензирование деятельности по
мониторингу ИБ
Прозоров Андрей, CISM
Solar Security
29-03-2017

2. НМД по лицензированию
2
Федеральный закон от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов
деятельности"
Постановление Правительства РФ от 3 февраля 2012 г. № 79
"О лицензировании деятельности по технической защите конфиденциальной информации"
Постановление Правительства РФ от 15 июня 2016 г. № 541
"О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам
лицензирования отдельных видов деятельности" (с 17.06.2017)
"Перечень контрольно-измерительного и испытательного оборудования, средств контроля
защищенности, необходимых для выполнения работ и оказания услуг, установленных
Положением о лицензировании деятельности по технической защите конфиденциальной
информации, утвержденным постановлением Правительства Российской Федерации от 3
февраля 2012 г. № 79", утвержден Директором ФСТЭК России 16 декабря 2016 г.
"Перечень технической документации, национальных стандартов и методических документов,
необходимых для выполнения работ и оказания услуг, установленных Положением о
лицензировании деятельности по технической защите конфиденциальной информации,
утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N
79", утвержден Директором ФСТЭК России 4 апреля 2015 г. (???вероятно устарел)

3. Проект административного регламента
3
Проект административного регламента ФСТЭК России от 10 марта 2017 года
http://fstec.ru/normotvorcheskaya/proekty/57-prikazy/1256-proekt-prikaza-fstek-rossii-26

4. Лицензирование по ТЗКИ
4
а) услуги по контролю защищенности конфиденциальной информации от утечки по
техническим каналам: …
б) услуги по контролю защищенности конфиденциальной информации от
несанкционированного доступа и ее модификации в средствах и системах информатизации
в) услуги по мониторингу информационной безопасности средств и систем
информатизации
г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям
по защите информации: …
д) работы и услуги по проектированию в защищенном исполнении: …
е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации
(технических средств защиты информации, защищенных технических средств обработки
информации, технических средств контроля эффективности мер защиты информации,
программных (программно-технических) средств защиты информации, защищенных
программных (программно-технических) средств обработки информации, программных
(программно-технических) средств контроля эффективности защиты информации)

5. Виды деятельности для SOC
5
Деятельность по технической защите
конфиденциальной информации
в) услуги по мониторингу информационной
безопасности средств и систем информатизации
б) услуги по контролю защищенности конфиденциальной информации от
несанкционированного доступа и ее модификации в средствах и системах информатизации
г) работы и услуги по проектированию в защищенном исполнении: …
е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации…

6. Кому нужна лицензия? Общая идея…
6
Если деятельность направлена на получение прибыли от
выполнения работ или оказания услуг по технической защите
конфиденциальной информации
и (или) она необходима для достижения целей деятельности,
предусмотренных в учредительных документах юридического лица,
а также если это юридическое лицо (уполномоченное лицо)
обеспечивает техническую защиту конфиденциальной информации
при ее обработке в соответствии с Федеральным законом "Об
информации, информационных технологиях и о защите информации"
по поручению обладателя информации конфиденциального
характера и (или) заказчика информационной системы.

7. Наказание по КоАП и УК РФ
7
Статья Максимальное наказание
КоАП ст.13.12. Нарушение правил защиты информации Штраф до 25 000 рублей с конфискацией
несертифицированных средств защиты
информации // административное
приостановление деятельности на срок до
90 суток
КоАП ст.13.13. Незаконная деятельность в области защиты
информации
Штраф до 20 000 рублей с конфискацией
средств защиты информации
КоАП ст.14.1. Осуществление предпринимательской деятельности
без государственной регистрации или без специального
разрешения (лицензии)
Штраф до 200 000 рублей //
административное приостановление
деятельности на срок до 90 суток
КоАП ст.19.20. Осуществление деятельности, не связанной с
извлечением прибыли, без специального разрешения (лицензии)
Штраф до 250 000 рублей //
административное приостановление
деятельности на срок до 90 суток
УК РФ ст. 171. Незаконное предпринимательство
(Осуществление предпринимательской деятельности без
регистрации или без лицензии в случаях, когда такая лицензия
обязательна, если это деяние причинило крупный ущерб
гражданам, организациям или государству либо сопряжено с
извлечением дохода в крупном размере)
Штраф до 500 000 рублей // Лишение
свободы до 5 лет

8. Для переоформления лицензии
8
• Заявление о переоформлении лицензии
• Сведения, подтверждающие квалификацию специалистов по защите
информации (с указанием реквизитов дипломов, удостоверений, свидетельств)
• Сведения, подтверждающие наличие аттестованных по требованиям
безопасности информации защищаемых помещений
• Сведения, подтверждающие наличие аттестованных по требованиям
безопасности информации автоматизированных систем, предназначенных для
хранения и обработки конфиденциальной информации, сведения о защищаемых
в автоматизированных системах ресурсах
• Сведения, подтверждающие наличие на праве собственности или ином
законном основании оборудования, необходимого для выполнения работ и (или)
оказания услуг
• Сведения об имеющихся технической и технологической документации,
национальных стандартах и методических документах, необходимых для
выполнения работ и (или) оказания услуг

9. ФСТЭК России предупреждает
9

10. Про квалификацию специалистов SOC
10
а) наличие в штате по основному месту работы в соответствии со штатным расписанием руководителя
и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица,
имеющих высшее образование по направлению подготовки (специальности) в области
информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду
деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в
области математических и естественных наук, инженерного дела, технологий и технических наук и
стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или
иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду
деятельности не менее 5 лет, прошедших обучение по программам профессиональной
переподготовки по одной из специальностей в области информационной безопасности (нормативный
срок обучения - не менее 360 аудиторных часов),
а также инженерно-технических работников (не менее 2 человек), имеющих высшее образование по
направлению подготовки (специальности) в области информационной безопасности и стаж работы в
области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее
образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не
менее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной из
специальностей в области информационной безопасности (нормативный срок обучения - не менее
360 аудиторных часов);
… б) повышение квалификации по лицензируемому виду деятельности лиц, указанных в подпункте
"а" настоящего пункта, не реже одного раза в 5 лет.

11. Требования к Помещениям и АС
11
б) наличие помещений, принадлежащих соискателю лицензии на праве
собственности или ином законном основании, в которых созданы необходимые
условия для размещения работников, производственного и испытательного
оборудования для осуществления лицензируемого вида деятельности, обсуждения
информации ограниченного доступа, не содержащей сведения, составляющие
государственную тайну
г) наличие принадлежащих соискателю лицензии на праве собственности или ином
законном основании автоматизированных систем, предназначенных для
обработки конфиденциальной информации, а также средств защиты такой
информации, прошедших процедуру оценки соответствия (аттестованных и (или)
сертифицированных по требованиям безопасности информации) в соответствии с
законодательством Российской Федерации

12. Требования к оборудованию
12
в) наличие принадлежащего соискателю лицензии на праве собственности
или ином законном основании оборудования, необходимого для
выполнения работ и (или) оказания услуг,
предусмотренных пунктом 4 настоящего Положения, в соответствии с
определяемым Федеральной службой по техническому и экспортному
контролю перечнем, в том числе:
• измерительных приборов, прошедших в установленном
законодательством Российской Федерации порядке метрологическую
поверку (калибровку)
• программных (программно-технических) средств, включая средства
контроля эффективности защиты информации, сертифицированных по
требованиям безопасности информации, а также средств контроля
(анализа) исходных текстов программного обеспечения
Оборудование в соответствии с
утвержденным Перечнем!

13. • Сертифицированные СЗИ
• Средства мониторинга SOC
(без требований к наличию сертификатов соответствия)
• «Информационная система,
предназначенная для мониторинга
информационной безопасности»
(сам SOC)
Перечень контрольно-измерительного и испытательного оборудования,
средств контроля защищенности, необходимых для выполнения работ и оказания услуг,
установленных Положением о лицензировании деятельности по технической защите
конфиденциальной информации, утвержденным постановлением Правительства
Российской Федерации от 3 февраля 2012 г. N 79
13
Минимально необходимый

14. Сертифицированные СЗИ для SOC
14
Наименование оборудования Дополнительно
• 20. Программное средство контроля целостности программ и
программных комплексов
-
• 25. Средство (средства) антивирусной защиты
• 24. Межсетевой экран уровня сети
• 26. Система обнаружения вторжений
Не ниже 4 класса
Не ниже 4 класса
Не ниже 4 класса
• 23. Межсетевой экран уровня веб-сервера Не ниже 4 класса
• 32. Средство (средства) защиты каналов передачи данных Сертификат ФСБ
России
• 30. Система управления событиями безопасности информации
• 21. Система контроля (анализа) защищенности
информационных систем
-
-

15. Средства мониторинга (SOC)
15
Наименование оборудования Расшифровка
• 28. Замкнутая система (среда) предварительного
выполнения программ (обращения к объектам файловой
системы)
Sandbox
• 22. Средства, предназначенные для осуществления
тестирования на проникновение
VM + ПО для
пентестеров
• 27. Средство автоматизированного реагирования на
инциденты информационной безопасности
SIEM + SD
• 29. Система управления информацией об угрозах
безопасности информации
SIEM + SD
• 31. Система управления инцидентами информационной
безопасности
SIEM + SD

16. И самое сложное про ИС (SOC)…
16
33. Информационная
система,
предназначенная для
мониторинга
информационной
безопасности
Информационная система, предназначенная для оказания
услуг по мониторингу информационной безопасности
средств и систем информатизации, в состав которой входят
средства и системы (или их компоненты), содержащиеся в
настоящем перечне под NN 27-32, и в которой приняты
меры по защите информации для первого класса
защищенности государственных информационных систем в
соответствии с Требованиями о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах,
утвержденными приказом ФСТЭК России от 11 февраля 2013
г. N 17.
Должна располагаться по адресу осуществления
лицензируемого вида деятельности

17. Требования Приказа 17
17
• Приказ ФСТЭК России от 11 февраля
2013 г. № 17 «Об утверждении
Требования о защите информации, не
составляющей государственную тайну,
содержащейся в государственных
информационных системах»
• Методический документ ФСТЭК России
от 11 февраля 2014 г. «Меры защиты
информации в государственных
информационных системах»

18. По Приказу 17
18
Для обеспечения защиты информации, содержащейся в информационной
системе, проводятся следующие мероприятия:
• формирование требований к защите информации, содержащейся в
информационной системе;
• разработка системы защиты информации информационной системы;
• внедрение системы защиты информации информационной системы;
• аттестация информационной системы по требованиям защиты
информации и ввод ее в действие;
• обеспечение защиты информации в ходе эксплуатации аттестованной
информационной системы;
• обеспечение защиты информации при выводе из эксплуатации
аттестованной информационной системы или после принятия решения
об окончании обработки информации.

19. Перечень документации
19
Перечень технической документации,
национальных стандартов и методических
документов, необходимых для выполнения
работ и оказания услуг, установленных
Положением о лицензировании деятельности
по технической защите конфиденциальной
информации, утвержденным постановлением
Правительства Российской Федерации от 3
февраля 2012 г. № 79 (новая редакция от
04.04.2015).
Вероятно будет пересмотрен…
150наименований

20. Возможный перечень документов (ДСП)
20
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)
ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие
требования. ДСП
ГОСТ РО 0043-003-2012. Защита информации. Аттестация объектов информатизации. Общие положения. ДСП
ГОСТ РО 0043-004-2013. Защита информации. Аттестация объектов информатизации. Программа и методики
аттестационных испытаний.
Требования к системам обнаружения вторжений
Требования к средствам антивирусной защиты
Требования к средствам доверенной загрузки
Требования к средствам контроля съемных машинных носителей информации.
Требования к межсетевым экранам
Требования к безопасности информации к операционным системам
Сборник временных методик оценки защищенности конфиденциальной информации от утечки по
техническим каналам. ДСП
Сборник методических документов по технической защите информации ограниченного доступа, не
содержащей сведений, составляющих государственную тайну, в волоконно-оптических системах передачи.

21. Спасибо за внимание!
Прозоров Андрей, CISM
a.prozorov@solarsecurity.ru