СЗПДн. Эксплуатация. Услуги по технической защите ПДн


Нет единого мнения в том, нужна ли Оператору ПДн лицензия на ТЗКИ при защите  ПДн, обрабатываемых у Оператора. Одни сделали вывод, что лицензия для собственных нужд не нужна. Другие посчитали, что лицензия нужна и получили её. Третьи определили что лицензия нужна или возможно нужна, но не стали её получать, а решили вместо этого воспользоваться услугами лицензиата.
Рассмотрим последний вариант. Для Организации это возможность как сэкономить на содержании большого штата специалистов, так и дополнительная гарантия при взаимодействии с Регулятором. ФСТЭК РФ на семинарах и конференциях активно предлагает заключать договора с лицензиатами. Но тут у меня возникает вопрос, какого объема услуг достаточно с точки зрения ФСТЭК?
Я встречал такой договор в котором в основную абонентскую плату никаких услуг не включено, кроме удаленных консультаций. В случае критической необходимости по дополнительному соглашению могут привлекаться специалисты Лицензиата за дополнительную плату. Такой договор устраивает ФСТЭК?
А встречались наоборот варианты, где в каждом чихе участвовали специалисты Лицензиата. В том числе установке или изменении конфигурации средств.
Посмотрим определение из ПП об утверждении «Положения о лицензировании  деятельности по технической защите конфиденциальной информации»:
“2. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.”
Оператор внедряет СЗПДн = комплекс мероприятий по защите ПДн от НСД, состоит из организационных мероприятий и мероприятий по использованию СЗИ.
Возьмем оргмеры. Среди таких мер будут например меры по ограничению входа на контролируемую территорию, контроль нахождения сотрудников в помещениях. Получается, что служба охраны занимается технической защитой ПДн?  И её надо отдавать на аутсорсинг лицензиату.
Другими оргмерами по защите ПДн могут быть – допуск сотрудников Оператора к обработке ПДн и учет таких сотрудников. Тот кто ведет такой учет, тоже технической защитой ПДн.
Возьмем самые простые случаи с СЗИ:
·        Добавить пользователя,
·        Заблокировать пользователя,
·        Разблокировать пользователя,
·        Проверить флешку на вирусы,
·        Проверить журналы межсетевого экрана или того-же антивируса
·        Дать доступ пользователю в Интернет и много другое.
Всё это относится к технической защиты КИ. Соответственно организациям решившим подстраховаться от ФСТЭК, придется отдавать все такие мероприятия на аутсорсинг.

Комментарии

Alexey Volkov написал(а)…
Скоро выйдет новое положение - там написано по-другому. Все ждут :)
17 ноября 2011 г. в 01:32
Анонимный написал(а)…
Проект ПП о лицензировании уже есть. 4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды выполняемых работ и (или) оказываемых услуг:
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

Про эксплуатацию - ни слова.
17 ноября 2011 г. в 03:01
Михаил Юрьевич Емельянников написал(а)…
Ага. Поставить антивирус на свой собственный комп - ТЗКИ "установка... программных...средств защиты информации". Поскольку про собственные нужды ТЗКИ ФЗ-99 молчок, докатились. Чего ждем-с?
17 ноября 2011 г. в 06:33
Анонимный написал(а)…
>Чего ждем-с?
Ждемс-с два месяца - срок давности по данному административному правонарушению.
17 ноября 2011 г. в 21:15
Анонимный написал(а)…
З.Ы. Вопрос в масштабе. Покажите мне водителя, который не нарушает ПДД:) Но, если вы превысили скорость на 10 км, то далеко не каждый гаишник вас остановит, да и штраф небольшой, можно предупреждением отделаться. С ТЗКИ для собственных нужд аналогично. Регулятор смотрит на это сквозь пальцы, а вот если вы на этом зарабатываете и без лицензии - другое дело. Вот такая у нас страна.
17 ноября 2011 г. в 21:39
Maksim написал(а)…
Поделитесь ссылко на ПП по лицензированию
18 ноября 2011 г. в 02:53
Анонимный написал(а)…
Где скачал - не помню, выкладываю в файлообменнике http://narod.ru/disk/31742939001/%D0%9F%D0%9F%20%D0%9E%20%D0%BB%D0%B8%D1%86%D0%B5%D0%BD%D0%B7%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B8%20(%D0%BF%D1%80%D0%BE%D0%B5%D0%BA%D1%82).rar.html
18 ноября 2011 г. в 03:28
Сергей Борисов написал(а)…
Да, новое положение конечно всё круто поменяет. Можно будет привлекать Лицензиата только на внедрение, а потом - самим.

Тогда другой вопрос - зачем ФСТЭК сейчас заставляет электронные площадки заключать договора по ТЗКИ с Лицензиатами. При этом на что должен быть договор не расшифровывается.
18 ноября 2011 г. в 04:43
Maksim написал(а)…
to Сергей Спасибо.
21 ноября 2011 г. в 21:17
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

КИИ. ОКВЭД vs 187-ФЗ

Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?   Например, если мы школа или учреждение соц. защиты. Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь :     Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...