вторник, 11 августа 2020 г.

Лицензии для услуг по безопасности ЗОКИИ

    К 1 сентября 2020 года закончится самый массовый этап категорирования объектов КИИ, множество объектов будет отнесено к ЗОКИИ и включено в реестр ФСТЭК. А это повлечет за собой необходимость выполнения 235/239 приказов ФСТЭК и 367/282 приказов ФСБ в отношении таких объектов. Уже сейчас некоторые субъекты КИИ начинают прорабатывать вопрос по привлечению сторонних  организаций для выполнения таких требований. И в данной заметке рассмотрим вопрос адекватности требований по наличию лицензий в области защиты информации к этим исполнителям.


   Собственно, обсудим реализацию п.11 235 Приказа ФСТЭК.
11. Для выполнения функций, предусмотренных пунктом 10 настоящих Требований, субъектами критической информационной инфраструктуры могут привлекаться организации, имеющие в зависимости от информации, обрабатываемой значимым объектом критической информационной инфраструктуры, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации (далее - лицензии в области защиты информации).
 И первый вопрос, с которым я неожиданно столкнулся при обсуждении проектов конкурсных документов, это вопрос выбора лицензии  в зависимости от информации, обрабатываемой ЗОКИИ. С защитой гостайны все понятно. Спор возник про защиту информации, которая не отнесена к охраняемой законом.То есть, буквальное прочтение лицензируемого вида деятельности работ " техническая защита конфиденциальной информации". Вправе ли мы требовать лицензию у исполнителя для услуг по защите "не конфиденциальной" информации?
  Определения конфиденциальной информации в законодательстве отсутствует. У нас есть конечно Указ Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера", но он содержит конечный перечень сведений.
  И здесь нам в помощь приходит Постановление Правительства РФ от 03.02.2012 N 79
"О лицензировании деятельности по технической защите конфиденциальной информации"
Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации).
  Ст.10 187-ФЗ указывает косвенно для ЗОКИИ. Слова "защита информации" не используются и дается через одну из задач системы безопасности ЗОКИИ.
2. Основными задачами системы безопасности значимого объекта критической информационной инфраструктуры являются:

1) предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом критической информационной инфраструктуры, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

 В подзаконном акте - приказе 239 ФСТЭК уже прямолинейно:
17. В значимых объектах объектами, подлежащими защите от угроз безопасности информации (объектами защиты), являются:
а) в информационных системах:
информация, обрабатываемая в информационной системе;
б) в информационно-телекоммуникационных сетях:
информация, передаваемая по линиям связи;
в) в автоматизированных системах управления:

информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (в том числе входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);

   Таким образом можно сделать вывод, что информация, обрабатываемая ЗОКИИ относится к информации, защищаемой в соответствии с законодательством РФ, просто по факту обработки в ЗОКИИ. И по ПП79 для оказания услуг по ее защите требуется соответствующая лицензия ТЗКИ.
   А вот вопрос с защитой информации в незначимых ОКИИ остается открытым. 187-ФЗ не относит ее к объектам защиты и если информация не попала под защиту других ФЗ (КТ, ПДн и т.д), то получается что лицензия на услуги по защите не требуется?

  Второй вопрос возникает при определении вида лицензируемой деятельности. Мало указать наличие лицензии, необходима конкретизация в соответствии с оказываемыми услугами.
Субъект с ЗОКИИ имеет право привлечь лицензиата ТЗКИ для выполнения вот этих задач:
   - разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представлять их руководителю субъекта критической информационной инфраструктуры (уполномоченному лицу);
  - проводить анализ угроз безопасности информации в отношении значимых объектов критической информационной инфраструктуры и выявлять уязвимости в них;
  -  обеспечивать реализацию требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии со статьей 11 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - требования по безопасности);
 - обеспечивать в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;
- осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";
 - организовывать проведение оценки соответствия значимых объектов критической информационной инфраструктуры требованиям по безопасности;
  - готовить предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов критической информационной инфраструктуры.

   Некоторые услуги в 239 приказе ФСТЭК прямо детализированы - Для проведения внешней оценки привлекаются организации, имеющие лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации).

  Самый проблемный пункт "обеспечивать в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;" -Эксплуатация СЗИ не относится к лицензируемой деятельности по ТЗКИ. Что прописывать при при передаче вашей ЗОКИИ  с подсистемой безопасности в другую организацию для эксплуатации (операторские функции)?

   Вот этот пункт "осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";" приводит к "услуги по мониторингу информационной безопасности средств и систем информатизации". Актуально при передаче вашей ЗОКИИ с подсистемой безопасности  в другую организацию для эксплуатации (операторские функции) или размещении ЗОКИИ в ЦОД.
   

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

8 комментариев:

  1. "А вот вопрос с защитой информации в незначимых ОКИИ остается открытым. 187-ФЗ не относит ее к объектам защиты и если информация не попала под защиту других ФЗ (КТ, ПДн и т.д), то получается что лицензия на услуги по защите не требуется?" - это значит, что защищать ее не требуется, а вот если все таки организация решает, что ее все таки хотят защищать, и для этой работы необходимо привлечь стороннюю организацию, то организации, оказывающей услуги по ТЗКИ необходима соответствующая лицензия

    ОтветитьУдалить
    Ответы
    1. Почему? В пп79 чётко указано, что по закону, а не по решению владельца.

      Удалить
  2. ПП 79 не уточняет по какой причине необходимо защищать информацию, значит требуется в обоих случаях, для организации, оказывающей услуги по ТЗКИ

    ОтветитьУдалить
  3. Нет. Лицензия требуется для защиты исключительно конфиденциальной информации и в самом пп79 дано толкование - что такое конфиденциальная информация.

    ОтветитьУдалить
    Ответы
    1. Если субъект принимает решение о выполнении приказа 239 для незначимого объекта, то требования 17 пункта для него так же должны выполняться.

      Удалить
    2. и как это влияет на отнесение к конфиденциальной информации? он же ее защищает по своему желанию, не потому что подзаконный акт велел. Как п.17 указывал на ЗОКИИ, так и продолжает - В значимых объектах объектами, подлежащими защите от угроз безопасности информации (объектами защиты). От выполнения 239 приказа в добровольном порядке незначимый ОКИИ не стал ЗОКИИ.

      Удалить
  4. Найти информацию в организации, которую необходимо защищать, и при этом не попасть в одну из категорий, нужно сильно постараться:
    Государственная тайна
    Персональные данные
    Личная и семейная тайна
    Служебная тайна
    Служебная информация
    Коммерческая тайна
    Сведения о сущности изобретения
    Тайна следствия и судопроизводства
    Тайна связи
    Тайна страхования
    Тайна усыновления
    Тайна исповеди
    Банковская тайна
    Нотариальная тайна
    Адвокатская тайна
    Врачебная тайна
    И если умудриться это сделать, у ЛПР возникнет закономерный вопрос, для чего тогда выделять денежные средства для заказа данных услуг на стороне

    ОтветитьУдалить
    Ответы
    1. не вижу ничего сложного. Под ЗОКИИ что только не требуют отнести.

      Удалить