Приказ № 17: Проведение аттестационных испытаний

Приказ № 17: Проведение аттестационных испытаний
Позавчера прошел VI Форум АЗИ «Актуальные вопросы информационной безопасности».

Для меня наибольший интерес представляла презентация представительницы ФСТЭК России, Торбенко Елены Борисовны (доклад, которой был одним из лучших, и которую «засыпали» доп. вопросами в коридоре).

Есть момент, который я хотел бы осветить в рамках данной заметки, несмотря на то, что уже многие эту тему затрагивали так или иначе.

Речь об изменениях в Требованиях, утвержденных приказом ФСТЭК России от 11.02.2013 № 17 (ред. от 15.02.2017), в части дополнения п. 17 абзацем:

Проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается.

В данном случае больше всего вопросов вызывает словосочетание «должностными лицами». Очень часто его связывают с КоАП РФ, где есть Статья 2.4. Административная ответственность должностных лиц. В Консультант+ про него отдельная подборка:
http://www.consultant.ru/law/podborki/dolzhnostnoe_lico/

В данной статье КоАП РФ в примечание есть уточнение:

Под должностным лицом в настоящем Кодексе следует понимать лицо, постоянно, временно или в соответствии со специальными полномочиями осуществляющее функции представителя власти, то есть наделенное в установленном законом порядке распорядительными полномочиями в отношении лиц, не находящихся в служебной зависимости от него, а равно лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции в государственных органах, органах местного самоуправления, государственных и муниципальных организациях, а также в Вооруженных Силах Российской Федерации, других войсках и воинских формированиях Российской Федерации.

Но это все применимо не к коммерческим компаниям, а именно они в первую очередь участвуют в проектировании и (или) внедрении СЗИ.

Безусловно, можно сказать, что далее в этом же примечании идет речь о «руководителях и других работниках иных организаций», но далее идет важное уточнение, что они «несут административную ответственность как должностные лица», а, на мой взгляд, «несут ответственность как» и равенство между понятиями «должностное лицо» и «руководитель» это не одно и тоже.

Плюс для понятия «руководитель организации» есть определено в ТК РФ (Статья 273):

Руководитель организации – физическое лицо, которое в соответствии с настоящим Кодексом, другими федеральными законами и иными нормативными правовыми актами Российской Федерации, законами и иными нормативными правовыми актами субъектов Российской Федерации, нормативными правовыми актами органов местного самоуправления, учредительными документами юридического лица (организации) и локальными нормативными актами осуществляет руководство этой организацией, в том числе выполняет функции ее единоличного исполнительного органа.

К чему я всё это?

Дело в том, что в презентации Елены Борисовны было использовано слово «лица» (видимо с целью минимизации теста), что дало мне надежду, что речь возможно идет о физическом лице:
1225da2e2e29336731b3f6054df02bea.jpg


При этом на мой вопрос может ли быть так, что одна организация-лицензиат одной проектной командой проектирует и (или) внедряет СЗИ, а другой проводит аттестационные испытания, в т.ч. в рамках приказа сформирована аттестационная комиссия и в ее составе нет «внедренцев», ответ был отрицательный, и добавлено, что речь все-таки идет о юридических лицах.

Плюс, было сказано, что на эту тему будет информационное письмо ФСТЭК России, которое снимет этот вопрос.

Стоит отметить, что это только первичные правки, основные будут после принятие правок в федеральный закон № 149-ФЗ.

Чем данная ситуация интересна для ИБ-рынка, а вот чем …

На практике очень часто используется понятие «построение СЗИ под ключ», т.е. с аттестатом на объект информатизации (ОИ) в самом конце. Сейчас же этого сделать будет нельзя, дополнительно для многих организаций-владельцев ОИ это означает отдельный конкурс, закупки и т.п. активности, т.е. увеличение трудозатрат ИБ-специалистов на непрактическую безопасность.
Вот здесь, на мой взгляд, выходит на первый план не технический вопрос, а вопрос качественной проработки договорных документов, условий подписания актов сдачи-приемки работ, сроков оплаты и неустоек ...

Успехов при проектировании и (или) внедрении СЗИ, а также проведении аттестационных испытаний ОИ!
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только

Какие зарубежные новостные сайты по информационной безопасности вы читаете?