СЗПДн. Эксплуатация. Работы и услуги по технической защите ПДн
3 февраля 2012
принято новое постановление правительства РФ о лицензировании деятельности по технической защитеконфиденциальной информации.
По сравнению с
предыдущим вариантом ПП снимается ряд проблем, о которых я писал в одной из заметок.
Под технической
защитой конфиденциальной информации понимается:
·
выполнение работ по ее защите
от несанкционированного доступа, от утечки по техническим каналам, а также
от специальных воздействий на такую информацию в целях ее
уничтожения, искажения или блокирования доступа к ней;
·
оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим
каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования
доступа к ней.
То есть под
определение попадает как самостоятельное выполнение мероприятий ИБ, так и
оказание услуг. Но далее, в пункте 4, приводится ограничение видов работ которые
попадают под лицензирование:
·
контроль защищенности
конфиденциальной информации от
утечки по техническим каналам (обычно
выполняется в рамках аттестации);
·
контроль защищенности конфиденциальной информации от
НСД (выполняется в рамках аттестации или аудита ИБ);
·
сертификационные испытания СЗИ;
·
аттестационные испытания и
аттестация;
·
проектирование в защищенном
исполнении (выполняется первоначально при внедрении например СЗПДн и в процессе
эксплуатации ИСПДн если происходят существенные изменения или меняются
требования к защите);
·
установка, монтаж, испытания, ремонт СЗИ (эксплуатация
сюда явно не включена)
Таким образом,
эксплуатация СЗИ исключена из лицензированных видов работ.
Но, например любой
оператор ПДн должен регулярно проводить контроль защищенности и ему периодически
необходимо переустанавливать СЗИ при каких-то сбоях или устанавливать СЗИ на
новый АРМ.
В таком случае
каждый оператор ПДн должен либо получать лицензию на ТЗКИ либо ежегодно заключать
договор на обслуживание и контроль защищенности СЗИ.
UPD:
Попробую подробнее
рассмотреть какие задачи, связанные с СЗИ могут возникнуть после их ввода в эксплуатацию и в каких случаях попадают под
лицензирование:
·
Штатное использование штатных
функций СЗИ – не подпадают
·
Штатная установка и настройка СЗИ
(при замене АРМ, сервера) – подпадают
·
Штатная настройка СЗИ (при
добавлении пользователя, администратора, при изменении IP-адресов) – не подпадают
·
Нештатные изменения СЗИ (при
существенном изменении топологии сети используемых технологий) – подпадают, потому
что по результатам нужны испытания, подтверждающие что СЗИ работает как надо
·
Штатное обновление СЗИ – не подподают
·
Существенное обновление СЗИ (при
котором требуется переустанавливать СЗИ) – подпадают
·
Резервное копирование конфигурации
и восстановление конфигурации СЗИ – не подпадают
·
Устранение неисправностей СЗИ (ремонт) – подпадают, но чаще всего вместе с СЗИ приобретается техническая поддержка от производителя или
лицензиата, в таком случае - не подпадают
·
Мониторинг работоспособности СЗИ, анализ
журналов – не подпадают
Возможно это поможет определится что именно включать в договор с Лицензиатом по-минимуму.
Комментарии
С технической точки зрения переустановка от установки ничем не отличается: нужно взять дистрибутив СЗИ, установить, применить настройки, проверить что СЗИ работает.
Маразм регуляторов крепчает =(
Если я в процессе эксплуатации произвожу восстановление работы системы согласно эксплуатационной документации на систему, то я занимаюсь эксплуатацией системы - перевожу работу системы из нештатного в штатный.
резервное копирование и восстановление конфигурации (то есть был с сбой в окружающей среде, но само СЗИ работает нормально) - тогда ремонт СЗИ не требуется и работы не подпадают под лицензирование
и
неисправность в самом СЗИ (то есть ошибки в работе ПО или в аппаратной части, которые не связанны с конфигурацией) в таком случае решить проблему без привлечения специалиста на получится.
и как следствие, если вендор участвует в устранении неисправностей (например 8x5 onsite) - то ему тоже нужно получать лицензию на ТЗКИ