Для меня наибольший интерес представляла презентация представительницы ФСТЭК России, Торбенко Елены Борисовны (доклад, которой был одним из лучших, и которую «засыпали» доп. вопросами в коридоре).
Есть момент, который я хотел бы осветить в рамках данной заметки, несмотря на то, что уже многие эту тему затрагивали так или иначе.
Речь об изменениях в Требованиях, утвержденных приказом ФСТЭК России от 11.02.2013 № 17 (ред. от 15.02.2017), в части дополнения п. 17 абзацем:
Проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается.
В данном случае больше всего вопросов вызывает словосочетание «должностными лицами». Очень часто его связывают с КоАП РФ, где есть Статья 2.4. Административная ответственность должностных лиц. В Консультант+ про него отдельная подборка:
В данной статье КоАП РФ в примечание есть уточнение:
Под должностным лицом в настоящем Кодексе следует понимать лицо, постоянно, временно или в соответствии со специальными полномочиями осуществляющее функции представителя власти, то есть наделенное в установленном законом порядке распорядительными полномочиями в отношении лиц, не находящихся в служебной зависимости от него, а равно лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции в государственных органах, органах местного самоуправления, государственных и муниципальных организациях, а также в Вооруженных Силах Российской Федерации, других войсках и воинских формированиях Российской Федерации.
Но это все применимо не к коммерческим компаниям, а именно они в первую очередь участвуют в проектировании и (или) внедрении СЗИ.
Безусловно, можно сказать, что далее в этом же примечании идет речь о «руководителях и других работниках иных организаций», но далее идет важное уточнение, что они «несут административную ответственность как должностные лица», а, на мой взгляд, «несут ответственность как» и равенство между понятиями «должностное лицо» и «руководитель» это не одно и тоже.
Плюс для понятия «руководитель организации» есть определено в ТК РФ (Статья 273):
Руководитель организации – физическое лицо, которое в соответствии с настоящим Кодексом, другими федеральными законами и иными нормативными правовыми актами Российской Федерации, законами и иными нормативными правовыми актами субъектов Российской Федерации, нормативными правовыми актами органов местного самоуправления, учредительными документами юридического лица (организации) и локальными нормативными актами осуществляет руководство этой организацией, в том числе выполняет функции ее единоличного исполнительного органа.
К чему я всё это?
Дело в том, что в презентации Елены Борисовны было использовано слово «лица» (видимо с целью минимизации теста), что дало мне надежду, что речь возможно идет о физическом лице:
При этом на мой вопрос может ли быть так, что одна организация-лицензиат одной проектной командой проектирует и (или) внедряет СЗИ, а другой проводит аттестационные испытания, в т.ч. в рамках приказа сформирована аттестационная комиссия и в ее составе нет «внедренцев», ответ был отрицательный, и добавлено, что речь все-таки идет о юридических лицах.
Плюс, было сказано, что на эту тему будет информационное письмо ФСТЭК России, которое снимет этот вопрос.
Стоит отметить, что это только первичные правки, основные будут после принятие правок в федеральный закон № 149-ФЗ.
Чем данная ситуация интересна для ИБ-рынка, а вот чем …
На практике очень часто используется понятие «построение СЗИ под ключ», т.е. с аттестатом на объект информатизации (ОИ) в самом конце. Сейчас же этого сделать будет нельзя, дополнительно для многих организаций-владельцев ОИ это означает отдельный конкурс, закупки и т.п. активности, т.е. увеличение трудозатрат ИБ-специалистов на непрактическую безопасность.
Вот здесь, на мой взгляд, выходит на первый план не технический вопрос, а вопрос качественной проработки договорных документов, условий подписания актов сдачи-приемки работ, сроков оплаты и неустоек ...
Успехов при проектировании и (или) внедрении СЗИ, а также проведении аттестационных испытаний ОИ!
