deHack.ru » Вопросы и ответы » Вопрос №253 от 26.02.2012

Вопрос №253 от 26.02.2012

Вопрос: Собираюсь оказывать в небольшом городе услуги по защите информации. Хочу занять нишу, которой пренебрегают компании, серьезно специализирущиеся на этом и имеющие лицензии. Конкретно - следующие виды деятельности: - аудит уязвимостей ИС, рекомендации по устранению или работы по устранению - резервирование, уничтожение, шифрование(не сертифицированными средствами) разного рода информации, по закону не подлежащей защите (баз данных торговых предприятий к примеру) - разработка документации(либо просто рекомендаций по подготовке документов) по защите пдн(частные модели и т.п.). В общем самый начальный уровень. Вопрос в следующем - нужна ли лицензия на это дело? (Аноним)

Ответ: Добрый день. Давайте разберем подробнее ситуацию.

1. Аудит уязвимостей ИС. Если речь идет об аудите, например ИСПДн, то руководствуемся п. 1.3 приказа ФСТЭК №58 от 05.02.2010г. "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", в котором сказано: "...Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.", делаем вывод, что лицензия нужна. Анализ уязвимостей, по большому счету та же модель угроз безопасности. Поэтому - да, лицензия нужна.

Если же речь идет о других ИС, обрабатывающих любую другую информацию, то руководствуемся п. 2.15 "Специальных требований и рекомендаций по технической защите информации" (СТР-К), из которого вытекает тот же ответ "Да, нужна".

 

2. "...Рекомендации по устранению или работы по устранению - резервирование, уничтожение, шифрование(не сертифицированными средствами) разного рода информации, по закону не подлежащей защите (баз данных торговых предприятий к примеру)..." По данному моменту могу сказать, что на "работу по устранению" лицензия нужна однозначно! Тем более если речь идет о шифровании. И еще, база данных торговых предприятий - это скорее всего коммерческая тайна, которая должна охраняться в соответсвии с ФЗ РФ "О коммерческой тайне" от 29 июля 2004 г. N 98-ФЗ.

 

3. "...разработка документации(либо просто рекомендаций по подготовке документов) по защите пдн(частные модели и т.п.). В общем самый начальный уровень." Это далеко не самый начальный уровень. По сути, Вы собираетесь изучать положение дел на предприятии, анализировать это, давать рекомендации и разрабатывать документы (в которых будут обозначены реальные лица и реальная ответсвенность, которая на них будет возложена). Начальным уровнем скорее будет являться простое консультирование.

 

Итог. Ответ на Ваш вопрос - да, лицензия нужна!

Другие вопросы

Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе