Председатель правления НП "Партнерство специалистов информационной безопасности"
ЦИБИТ: Какую роль играет лицензирование деятельности в работе служб безопасности банка?
Музипов Фарит: Лицензирование — это право организации заниматься определенной деятельностью. Оно не зависит от службы безопасности, так как лицензию получает сама организация. Когда возникает задача выполнения лицензионных требований, встает вопрос о виде деятельности организации. Лицензировать можно что угодно, начиная от производства лекарственных средств до производства оборудования.
Когда мы говорим о лицензировании производства лекарств не возникает вопрос о защите информации, но нас интересует деятельность по технической защите информации, связанная с криптографической защитой информации. А если говорить про возможность заниматься деятельностью криптографической защиты информации, возникают лицензионные требования, которые имеют прямое отношение к службе ИБ.
Прежде всего, это наличие квалифицированного персонала, то есть в организации должен быть человек, который руководит направлением лицензирования организации и работники, которые осуществляют этот вид деятельности, как правило они являются сотрудниками отделом ИБ. Отдел ИБ — это структура организации, которая занимается такими вопросами как подготовка организации к лицензированию, разбор лицензионных требований, приведение организации в соответствие с требованиями и участвует непосредственно в процессе получения лицензии.
ЦИБИТ: Насколько важна квалификация эксперта, занимающегося лицензированием в этом вопросе?
Музипов Фапит: Квалификация эксперта очень важна! У меня есть пример некоммерческой организации, которая пыталась полгода получить лицензию самостоятельно с помощью своего юриста, но из-за того, что он не является специалистом в этой области, и в том числе выполнял большое количество других поручений и обязанностей, своими силами им не удалось её получить. Пришлось обратиться к эксперту, который знает нюансы получения лицензии, умеет правильно изложить требования регуляторов.
Как правило, компании-лицензиаты либо принимают на работу сотрудника, имеющего опыт в получении лицензии, либо обращаются в специализированную организацию, где есть высококвалифицированные эксперты-консультанты.
ЦИБИТ: Являясь экспертом информационной безопасности, скажите, с какими сложностями сталкиваются кредитно-финансовые организации при получении лицензии ФСБ России на криптографическую деятельность?
Музипов Фапит: Основная сложность специалиста по ИБ — это донести до руководства организации необходимость в получении лицензии ФСБ России на криптографическую деятельность. У руководства часто возникает вопрос, почему некоторые организации не получают лицензию. Если организация занимается финансовыми операциями, связанными с криптографической защитой информации, главным процессом которой является управление деньгами клиентов — в таком случае необходимо получение лицензии.
В последнее время данный вопрос стал менее актуален, так как большинство организаций знают свои права и обязанности. Еще несколько лет назад большое количество организаций получили административные наказания за отсутствие лицензии, в том числе были случаи, когда нарушение рассматривалось в качестве уголовного наказания, как незаконная предпринимательская деятельность.
Другая сложность состоит в том, что часто приходится вносить изменения в процесс оказания услуг для соответствия лицензионным требованиям. Также возникает необходимость в квалифицированном персонале, потому что многие организации не хотят выделять финансовые средства для обучения или повышения квалификации персонала. Многие их них не уверены в том, что после обучения сотрудник не перейдет работать в другую организацию.
Говоря о сложностях, стоит выделить этапы подготовки к получению лицензии. Первый этап — расшифровка требований, когда необходима консультация экспертов. Второй этап — это подготовка к лицензированию: обеспечение квалифицированным персоналом. Следующий этап — подача документа на лицензирование, которое включает в себя правильное оформление документов. Затем идет рассмотрение заявки и проверка выполнения условий для оказания услуг в области защиты информации. При выполнении условий лицензирования и предоставлении подтверждающих документов выдается лицензия ФСБ РФ на криптографическую деятельность. Важно не забывать, что наличие лицензии влечет за собой определенные обязательства.
ЦИБИТ: Каково Ваше мнение о качестве услуг компании ЦИБИТ?
Музипов Фапит: С вашей организацией мы плодотворно работали над несколькими проектами и всегда были довольны сотрудничеством. Рынок информационной безопасности небольшой, но на нем, время от времени, появляются новые компании, не обладающие высококвалифицированными специалистами в этой отрасли, что приводит к оказанию некачественных услуг. А обратившись в компанию ЦИБИТ, я всегда уверен в получении услуг высокого качества за приемлемую цену.
Я проходил обучение в вашем Учебном центре и, убедившись в качестве услуг, стал смело направлять своих сотрудников на обучение. О компании ЦИБИТ сложилось хорошее мнение в отрасли информационной безопасности, не случайно к вам я попал по рекомендации своих коллег. Это говорит о том, что о вас не только знают в этой отрасли, но и доверяют качеству ваших услуг и экспертному мнению.