СЗПДн. Эксплуатация. Услуги по технической защите ПДн


Нет единого мнения в том, нужна ли Оператору ПДн лицензия на ТЗКИ при защите  ПДн, обрабатываемых у Оператора. Одни сделали вывод, что лицензия для собственных нужд не нужна. Другие посчитали, что лицензия нужна и получили её. Третьи определили что лицензия нужна или возможно нужна, но не стали её получать, а решили вместо этого воспользоваться услугами лицензиата.
Рассмотрим последний вариант. Для Организации это возможность как сэкономить на содержании большого штата специалистов, так и дополнительная гарантия при взаимодействии с Регулятором. ФСТЭК РФ на семинарах и конференциях активно предлагает заключать договора с лицензиатами. Но тут у меня возникает вопрос, какого объема услуг достаточно с точки зрения ФСТЭК?
Я встречал такой договор в котором в основную абонентскую плату никаких услуг не включено, кроме удаленных консультаций. В случае критической необходимости по дополнительному соглашению могут привлекаться специалисты Лицензиата за дополнительную плату. Такой договор устраивает ФСТЭК?
А встречались наоборот варианты, где в каждом чихе участвовали специалисты Лицензиата. В том числе установке или изменении конфигурации средств.
Посмотрим определение из ПП об утверждении «Положения о лицензировании  деятельности по технической защите конфиденциальной информации»:
“2. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.”
Оператор внедряет СЗПДн = комплекс мероприятий по защите ПДн от НСД, состоит из организационных мероприятий и мероприятий по использованию СЗИ.
Возьмем оргмеры. Среди таких мер будут например меры по ограничению входа на контролируемую территорию, контроль нахождения сотрудников в помещениях. Получается, что служба охраны занимается технической защитой ПДн?  И её надо отдавать на аутсорсинг лицензиату.
Другими оргмерами по защите ПДн могут быть – допуск сотрудников Оператора к обработке ПДн и учет таких сотрудников. Тот кто ведет такой учет, тоже технической защитой ПДн.
Возьмем самые простые случаи с СЗИ:
·        Добавить пользователя,
·        Заблокировать пользователя,
·        Разблокировать пользователя,
·        Проверить флешку на вирусы,
·        Проверить журналы межсетевого экрана или того-же антивируса
·        Дать доступ пользователю в Интернет и много другое.
Всё это относится к технической защиты КИ. Соответственно организациям решившим подстраховаться от ФСТЭК, придется отдавать все такие мероприятия на аутсорсинг.

Комментарии

Alexey Volkov написал(а)…
Скоро выйдет новое положение - там написано по-другому. Все ждут :)
Анонимный написал(а)…
Проект ПП о лицензировании уже есть. 4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды выполняемых работ и (или) оказываемых услуг:
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

Про эксплуатацию - ни слова.
Ага. Поставить антивирус на свой собственный комп - ТЗКИ "установка... программных...средств защиты информации". Поскольку про собственные нужды ТЗКИ ФЗ-99 молчок, докатились. Чего ждем-с?
Анонимный написал(а)…
>Чего ждем-с?
Ждемс-с два месяца - срок давности по данному административному правонарушению.
Анонимный написал(а)…
З.Ы. Вопрос в масштабе. Покажите мне водителя, который не нарушает ПДД:) Но, если вы превысили скорость на 10 км, то далеко не каждый гаишник вас остановит, да и штраф небольшой, можно предупреждением отделаться. С ТЗКИ для собственных нужд аналогично. Регулятор смотрит на это сквозь пальцы, а вот если вы на этом зарабатываете и без лицензии - другое дело. Вот такая у нас страна.
Maksim написал(а)…
Поделитесь ссылко на ПП по лицензированию
Анонимный написал(а)…
Где скачал - не помню, выкладываю в файлообменнике http://narod.ru/disk/31742939001/%D0%9F%D0%9F%20%D0%9E%20%D0%BB%D0%B8%D1%86%D0%B5%D0%BD%D0%B7%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B8%20(%D0%BF%D1%80%D0%BE%D0%B5%D0%BA%D1%82).rar.html
Сергей Борисов написал(а)…
Да, новое положение конечно всё круто поменяет. Можно будет привлекать Лицензиата только на внедрение, а потом - самим.

Тогда другой вопрос - зачем ФСТЭК сейчас заставляет электронные площадки заключать договора по ТЗКИ с Лицензиатами. При этом на что должен быть договор не расшифровывается.
Maksim написал(а)…
to Сергей Спасибо.

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3