Лицензии для услуг по безопасности ЗОКИИ

Лицензии для услуг по безопасности ЗОКИИ
    К 1 сентября 2020 года закончится самый массовый этап категорирования объектов КИИ, множество объектов будет отнесено к ЗОКИИ и включено в реестр ФСТЭК. А это повлечет за собой необходимость выполнения 235/239 приказов ФСТЭК и 367/282 приказов ФСБ в отношении таких объектов. Уже сейчас некоторые субъекты КИИ начинают прорабатывать вопрос по привлечению сторонних  организаций для выполнения таких требований. И в данной заметке рассмотрим вопрос адекватности требований по наличию лицензий в области защиты информации к этим исполнителям.
name='more'>

   Собственно, обсудим реализацию п.11 235 Приказа ФСТЭК.
11. Для выполнения функций, предусмотренных пунктом 10 настоящих Требований, субъектами критической информационной инфраструктуры могут привлекаться организации, имеющие в зависимости от информации, обрабатываемой значимым объектом критической информационной инфраструктуры, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации (далее - лицензии в области защиты информации).
 И первый вопрос, с которым я неожиданно столкнулся при обсуждении проектов конкурсных документов, это вопрос выбора лицензии  в зависимости от информации, обрабатываемой ЗОКИИ. С защитой гостайны все понятно. Спор возник про защиту информации, которая не отнесена к охраняемой законом.То есть, буквальное прочтение лицензируемого вида деятельности работ " техническая защита конфиденциальной информации". Вправе ли мы требовать лицензию у исполнителя для услуг по защите "не конфиденциальной" информации?
  Определения конфиденциальной информации в законодательстве отсутствует. У нас есть конечно Указ Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера", но он содержит конечный перечень сведений.
  И здесь нам в помощь приходит Постановление Правительства РФ от 03.02.2012 N 79
"О лицензировании деятельности по технической защите конфиденциальной информации"
Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации).
  Ст.10 187-ФЗ указывает косвенно для ЗОКИИ. Слова "защита информации" не используются и дается через одну из задач системы безопасности ЗОКИИ.
2. Основными задачами системы безопасности значимого объекта критической информационной инфраструктуры являются:

1) предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом критической информационной инфраструктуры, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

 В подзаконном акте - приказе 239 ФСТЭК уже прямолинейно:
17. В значимых объектах объектами, подлежащими защите от угроз безопасности информации (объектами защиты), являются:
а) в информационных системах:
информация, обрабатываемая в информационной системе;
б) в информационно-телекоммуникационных сетях:
информация, передаваемая по линиям связи;
в) в автоматизированных системах управления:

информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (в том числе входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);

   Таким образом можно сделать вывод, что информация, обрабатываемая ЗОКИИ относится к информации, защищаемой в соответствии с законодательством РФ, просто по факту обработки в ЗОКИИ. И по ПП79 для оказания услуг по ее защите требуется соответствующая лицензия ТЗКИ.
   А вот вопрос с защитой информации в незначимых ОКИИ остается открытым. 187-ФЗ не относит ее к объектам защиты и если информация не попала под защиту других ФЗ (КТ, ПДн и т.д), то получается что лицензия на услуги по защите не требуется?

  Второй вопрос возникает при определении вида лицензируемой деятельности. Мало указать наличие лицензии, необходима конкретизация в соответствии с оказываемыми услугами.
Субъект с ЗОКИИ имеет право привлечь лицензиата ТЗКИ для выполнения вот этих задач:
   - разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представлять их руководителю субъекта критической информационной инфраструктуры (уполномоченному лицу);
  - проводить анализ угроз безопасности информации в отношении значимых объектов критической информационной инфраструктуры и выявлять уязвимости в них;
  -  обеспечивать реализацию требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии со статьей 11 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - требования по безопасности);
 - обеспечивать в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;
- осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";
 - организовывать проведение оценки соответствия значимых объектов критической информационной инфраструктуры требованиям по безопасности;
  - готовить предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов критической информационной инфраструктуры.

   Некоторые услуги в 239 приказе ФСТЭК прямо детализированы - Для проведения внешней оценки привлекаются организации, имеющие лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации).

  Самый проблемный пункт "обеспечивать в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;" -Эксплуатация СЗИ не относится к лицензируемой деятельности по ТЗКИ. Что прописывать при при передаче вашей ЗОКИИ  с подсистемой безопасности в другую организацию для эксплуатации (операторские функции)?

   Вот этот пункт "осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";" приводит к "услуги по мониторингу информационной безопасности средств и систем информатизации". Актуально при передаче вашей ЗОКИИ с подсистемой безопасности  в другую организацию для эксплуатации (операторские функции) или размещении ЗОКИИ в ЦОД.
   

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности