СЗПДн. Эксплуатация. Услуги по технической защите ПДн
Нет единого мнения в том, нужна
ли Оператору ПДн лицензия на ТЗКИ при защите ПДн, обрабатываемых у Оператора. Одни сделали
вывод, что лицензия для собственных нужд не нужна. Другие посчитали, что лицензия
нужна и получили её. Третьи определили что лицензия нужна или возможно нужна,
но не стали её получать, а решили вместо этого воспользоваться услугами
лицензиата.
Рассмотрим последний вариант.
Для Организации это возможность как сэкономить на содержании большого штата
специалистов, так и дополнительная гарантия при взаимодействии с Регулятором. ФСТЭК
РФ на семинарах и конференциях активно предлагает заключать договора с
лицензиатами. Но тут у меня возникает вопрос, какого объема услуг достаточно с
точки зрения ФСТЭК?
Я встречал такой договор в
котором в основную абонентскую плату никаких услуг не включено, кроме удаленных
консультаций. В случае критической необходимости по дополнительному соглашению
могут привлекаться специалисты Лицензиата за дополнительную плату. Такой
договор устраивает ФСТЭК?
А встречались наоборот варианты,
где в каждом чихе участвовали специалисты Лицензиата. В том числе установке или
изменении конфигурации средств.
Посмотрим определение из ПП об
утверждении «Положения о лицензировании деятельности
по технической защите конфиденциальной информации»:
“2. Под технической защитой конфиденциальной информации понимается
комплекс мероприятий и (или) услуг по ее защите от несанкционированного
доступа, в том числе и по техническим каналам, а также от специальных
воздействий на такую информацию в целях ее уничтожения, искажения или
блокирования доступа к ней.”
Оператор внедряет СЗПДн = комплекс
мероприятий по защите ПДн от НСД, состоит из организационных мероприятий и
мероприятий по использованию СЗИ.
Возьмем оргмеры. Среди таких мер
будут например меры по ограничению входа на контролируемую территорию, контроль
нахождения сотрудников в помещениях. Получается, что служба охраны занимается
технической защитой ПДн? И её надо отдавать
на аутсорсинг лицензиату.
Другими оргмерами по защите ПДн могут
быть – допуск сотрудников Оператора к обработке ПДн и учет таких сотрудников. Тот
кто ведет такой учет, тоже технической защитой ПДн.
Возьмем самые простые случаи с СЗИ:
·
Добавить пользователя,
·
Заблокировать пользователя,
·
Разблокировать пользователя,
·
Проверить
флешку на вирусы,
·
Проверить журналы межсетевого экрана или того-же
антивируса
·
Дать доступ пользователю в Интернет и много
другое.
Всё это относится к технической
защиты КИ. Соответственно организациям решившим подстраховаться от ФСТЭК,
придется отдавать все такие мероприятия на аутсорсинг.
Комментарии
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Про эксплуатацию - ни слова.
Ждемс-с два месяца - срок давности по данному административному правонарушению.
Тогда другой вопрос - зачем ФСТЭК сейчас заставляет электронные площадки заключать договора по ТЗКИ с Лицензиатами. При этом на что должен быть договор не расшифровывается.