Ааа, это из информационного сообщения ФСТЭК от 30 мая 2012 № 240/22/2222, ну и если Вы читаете документ НКЦКИ, то сами видите в каком контексте там идёт речь о лицензии ФСТЭК.

Прям вот так вот "не бывает"?
Даже если я СКИИ, владелец ЗОКИИ, не состою в холдинге и никаких дочерних компаний нет. Хочу создать свой центр ГосСОПКА. Ну вот не доверяю всем этим сокам.
Мне все равно нужна дицензия?

А.
Простите все, коллеги, я невнимателен

Центр ГосСОПКА - это субъект, который заключил с НКЦКИ соглашение, по которому получает право в рамках ГосСОПКА выполнять определенный набор функции в интересах третьих лиц. Которые обязаны, но не умеют выполнять эти функции самостоятельно.

Если вы не доверяете сторонним SOCам, то все функции по обнаружению компьютерных атак выполняет ваше структурное подразделение, а все взаимодействие с НКЦКИ осуществляется на общих правах. Никакое соглашение вы в этом случае с НКЦКИ не заключаете и лицензия ФСТЭК вам не нужна.

Спасибо

Доброе утро, подскажите пожалуйста, есть ли где нибудь упоминание в нормативных документах о том, что специалист по защите информации должен иметь определённое образование (по направлению) или пройти соответствующую профпереподготовку.

Или по другому спрошу, на что опираться при формировании оснований для прохождения курсов по профпереподготовке по ИБ?

1. Требования к лицензиатам ФСТЭК России, ФСБ России в части квалификации специалистов.
2. Если в вашей организации введены профстандарты, то можно отталкиваться от них.

Как вариант, обратиться к п. 12 приказа ФСТЭК № 235 (возможно, скоро там появится конкретика), а также к Требованиями к подразделениям и должностным лицам субъектов ГосСОПКА, но это документ ограниченного доступа.

ПП 399 от 06.05.2016 возможно пригодится

Спасибо большое за ответы, помогли, вот в корректировках к 235 приказу Фстэк п. 12.1и п. 12.2 хорошо описано, но неизвестно когда они вступят в силу.

Всем доброе утро! вопрос: скажем заказчик подключен к центру мониторинга и далее к сопке и у него проводятся тесты на проникновение и прочие, то эээ можно в центре мониторинга договорится что за определенное время не отправлять алерты в сопку или вообще как это должно происходить?

Туплю. Думаю надо уведомлять ФСБ. Причём они просят, чтобы с двух сторон было уведомление (что и те, и другие в курсе).

при этом я думаю надо будет указать временные рамки проведения тестов и то возникает множетсво других вопросов

Ай-Пишники по-любому (диапазон хотя бы). Так как при сливе со стороны недобросовестного исполнителя (отдельного сотрудника) времени атаки можно будет под шумок и реальную атаку провести

вот да:) но и тут еще ряд орг вопросом и документального сопровождения процесса, а кстати в компетенции центра мониторинга входит такой анализ тех объектов что он мониторит или там только наблюдение и отчетность в госсопку?

Вопрос не совсем понятен, приходится додумывать. Центр ГосСОПКА может принять действия пентнстеров за реальную атаку и вы хотите избежать такого "ложного срабатывания"?

1. Внешний пентест обычно проводится с фиксированных IP исполнителя, исполнитель сообщает их заказчику именно на этот случай. А то бывает, что действия пентестеров блокируют операторы связи и ФСО :) Так что центр ГосСОПКА может понять, где пентест, а где реальная атака.

2. Одновременно с пентестом может идти и реальная атака - бывало и такое в практике. Поэтому "временно не сообщать" - не вариант. Кроме того, если инцидент произойдет в результате пентеста - это все равно инцидент, о котором субъект обязан сообщить в НКЦКИ.

3. Одна из функций центра ГосСОПКА - проведение пентестов. Вы можете, конечно, привлечь еще и другого исполнителя, но смысл?

1) да
2) а варинт по  выделению айпи с которых будут идти тесты?
3) тут не могу ответить ибо не залезал в голову к заказчику

временно не сообщать согласен глупо прозвучало, каюсь

А регулярность? Как я их заставлю действовать по моему плану, подписанному у руководителя?

не очень понял, кого их?