четверг, 17 ноября 2011 г.

СЗПДн. Эксплуатация. Услуги по технической защите ПДн


Нет единого мнения в том, нужна ли Оператору ПДн лицензия на ТЗКИ при защите  ПДн, обрабатываемых у Оператора. Одни сделали вывод, что лицензия для собственных нужд не нужна. Другие посчитали, что лицензия нужна и получили её. Третьи определили что лицензия нужна или возможно нужна, но не стали её получать, а решили вместо этого воспользоваться услугами лицензиата.
Рассмотрим последний вариант. Для Организации это возможность как сэкономить на содержании большого штата специалистов, так и дополнительная гарантия при взаимодействии с Регулятором. ФСТЭК РФ на семинарах и конференциях активно предлагает заключать договора с лицензиатами. Но тут у меня возникает вопрос, какого объема услуг достаточно с точки зрения ФСТЭК?
Я встречал такой договор в котором в основную абонентскую плату никаких услуг не включено, кроме удаленных консультаций. В случае критической необходимости по дополнительному соглашению могут привлекаться специалисты Лицензиата за дополнительную плату. Такой договор устраивает ФСТЭК?
А встречались наоборот варианты, где в каждом чихе участвовали специалисты Лицензиата. В том числе установке или изменении конфигурации средств.
Посмотрим определение из ПП об утверждении «Положения о лицензировании  деятельности по технической защите конфиденциальной информации»:
“2. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.”
Оператор внедряет СЗПДн = комплекс мероприятий по защите ПДн от НСД, состоит из организационных мероприятий и мероприятий по использованию СЗИ.
Возьмем оргмеры. Среди таких мер будут например меры по ограничению входа на контролируемую территорию, контроль нахождения сотрудников в помещениях. Получается, что служба охраны занимается технической защитой ПДн?  И её надо отдавать на аутсорсинг лицензиату.
Другими оргмерами по защите ПДн могут быть – допуск сотрудников Оператора к обработке ПДн и учет таких сотрудников. Тот кто ведет такой учет, тоже технической защитой ПДн.
Возьмем самые простые случаи с СЗИ:
·        Добавить пользователя,
·        Заблокировать пользователя,
·        Разблокировать пользователя,
·        Проверить флешку на вирусы,
·        Проверить журналы межсетевого экрана или того-же антивируса
·        Дать доступ пользователю в Интернет и много другое.
Всё это относится к технической защиты КИ. Соответственно организациям решившим подстраховаться от ФСТЭК, придется отдавать все такие мероприятия на аутсорсинг.

9 комментариев:

Алексей Волков комментирует...

Скоро выйдет новое положение - там написано по-другому. Все ждут :)

Сергей комментирует...

Проект ПП о лицензировании уже есть. 4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды выполняемых работ и (или) оказываемых услуг:
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

Про эксплуатацию - ни слова.

Михаил Емельянников комментирует...

Ага. Поставить антивирус на свой собственный комп - ТЗКИ "установка... программных...средств защиты информации". Поскольку про собственные нужды ТЗКИ ФЗ-99 молчок, докатились. Чего ждем-с?

Сергей комментирует...

>Чего ждем-с?
Ждемс-с два месяца - срок давности по данному административному правонарушению.

Сергей комментирует...

З.Ы. Вопрос в масштабе. Покажите мне водителя, который не нарушает ПДД:) Но, если вы превысили скорость на 10 км, то далеко не каждый гаишник вас остановит, да и штраф небольшой, можно предупреждением отделаться. С ТЗКИ для собственных нужд аналогично. Регулятор смотрит на это сквозь пальцы, а вот если вы на этом зарабатываете и без лицензии - другое дело. Вот такая у нас страна.

Maksim комментирует...

Поделитесь ссылко на ПП по лицензированию

Сергей комментирует...

Где скачал - не помню, выкладываю в файлообменнике http://narod.ru/disk/31742939001/%D0%9F%D0%9F%20%D0%9E%20%D0%BB%D0%B8%D1%86%D0%B5%D0%BD%D0%B7%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B8%20(%D0%BF%D1%80%D0%BE%D0%B5%D0%BA%D1%82).rar.html

Сергей Борисов комментирует...

Да, новое положение конечно всё круто поменяет. Можно будет привлекать Лицензиата только на внедрение, а потом - самим.

Тогда другой вопрос - зачем ФСТЭК сейчас заставляет электронные площадки заключать договора по ТЗКИ с Лицензиатами. При этом на что должен быть договор не расшифровывается.

Maksim комментирует...

to Сергей Спасибо.