вторник, 7 февраля 2012 г.

СЗПДн. Эксплуатация. Работы и услуги по технической защите ПДн



По сравнению с предыдущим вариантом ПП снимается ряд проблем, о которых я писал в одной из заметок.

Под технической защитой конфиденциальной  информации понимается:
·        выполнение работ  по ее защите   от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях  ее   уничтожения, искажения или блокирования доступа к ней;
·        оказание   услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях  ее уничтожения, искажения или блокирования доступа к ней.

То есть под определение попадает как самостоятельное выполнение мероприятий ИБ, так и оказание услуг. Но далее, в пункте 4, приводится ограничение видов работ которые попадают под лицензирование:
·        контроль защищенности конфиденциальной информации от  утечки   по техническим каналам (обычно выполняется в рамках аттестации);
·        контроль   защищенности конфиденциальной информации от НСД (выполняется в рамках аттестации или аудита ИБ);
·        сертификационные  испытания СЗИ;
·        аттестационные испытания и аттестация;
·        проектирование в защищенном исполнении (выполняется первоначально при внедрении например СЗПДн и в процессе эксплуатации ИСПДн если происходят существенные изменения или меняются требования к защите);
·        установка, монтаж, испытания, ремонт СЗИ (эксплуатация сюда явно не включена)
Таким образом, эксплуатация СЗИ исключена из лицензированных видов работ.

Но, например любой оператор ПДн должен регулярно проводить контроль защищенности и ему периодически необходимо переустанавливать СЗИ при каких-то сбоях или устанавливать СЗИ на новый АРМ.
В таком случае каждый оператор ПДн должен либо получать лицензию на ТЗКИ либо ежегодно заключать договор на обслуживание и контроль защищенности СЗИ.


UPD:
Попробую подробнее рассмотреть какие задачи, связанные с СЗИ могут возникнуть после их ввода  в эксплуатацию и в каких случаях попадают под лицензирование:
·        Штатное использование штатных функций СЗИ – не подпадают
·        Штатная установка и настройка СЗИ (при замене АРМ, сервера) – подпадают
·        Штатная настройка СЗИ (при добавлении пользователя, администратора, при изменении IP-адресов) – не подпадают
·        Нештатные изменения СЗИ (при существенном изменении топологии сети используемых технологий) – подпадают, потому что по результатам нужны испытания, подтверждающие что СЗИ работает как надо
·        Штатное обновление СЗИ – не подподают
·        Существенное обновление СЗИ (при котором требуется переустанавливать СЗИ) – подпадают
·        Резервное копирование конфигурации и восстановление конфигурации СЗИ – не подпадают
·        Устранение неисправностей СЗИ (ремонт) – подпадают, но чаще всего вместе с СЗИ приобретается техническая поддержка от производителя или лицензиата, в таком случае - не подпадают 
·        Мониторинг работоспособности СЗИ, анализ журналов – не подпадают
Возможно это поможет определится что именно включать в договор с Лицензиатом по-минимуму.


5 комментариев:

Алексей Краснов комментирует...

На мой взгляд, если в эксплуатационной документации указано как действовать в случае сбоя, то "переустанавливать СЗИ при каких-то сбоях" относится к эксплуатации СЗИ.

Сергей Борисов комментирует...

По-моему переустановка - это установка, и попадает под лицензирование, так как в ПП слово "установка" явно написано.

С технической точки зрения переустановка от установки ничем не отличается: нужно взять дистрибутив СЗИ, установить, применить настройки, проверить что СЗИ работает.

Игорь Бурцев комментирует...

Сергей, в п.п. "е" п.4 Положения есть еще и ремонт СЗИ (... программных (программно-технических) СЗИ), под который вполне можно подогнать и восстановление конфигурации СЗИ и устранение неисправностей. Определения же ремонта программных СЗИ нет.
Маразм регуляторов крепчает =(

Алексей Краснов комментирует...

в п.п. "е" п.4 Положения указан ремонт средств, а не систем. А "восстановление конфигурации СЗИ и устранение неисправностей" на объекте информатизации уже относится к системе.
Если я в процессе эксплуатации произвожу восстановление работы системы согласно эксплуатационной документации на систему, то я занимаюсь эксплуатацией системы - перевожу работу системы из нештатного в штатный.

Сергей Борисов комментирует...

Игорь, Алексей - я поэтому и отделил

резервное копирование и восстановление конфигурации (то есть был с сбой в окружающей среде, но само СЗИ работает нормально) - тогда ремонт СЗИ не требуется и работы не подпадают под лицензирование

и

неисправность в самом СЗИ (то есть ошибки в работе ПО или в аппаратной части, которые не связанны с конфигурацией) в таком случае решить проблему без привлечения специалиста на получится.

и как следствие, если вендор участвует в устранении неисправностей (например 8x5 onsite) - то ему тоже нужно получать лицензию на ТЗКИ