Нет единого мнения в том, нужнали Оператору ПДн лицензия на ТЗКИ при защите ПДн, обрабатываемых у Оператора. Одни сделаливывод, что лицензия для собственных нужд не нужна. Другие посчитали, что лицензиянужна и получили её. Третьи определили что лицензия нужна или возможно нужна,но не стали её получать, а решили вместо этого воспользоваться услугамилицензиата.
Рассмотрим последний вариант.Для Организации это возможность как сэкономить на содержании большого штатаспециалистов, так и дополнительная гарантия при взаимодействии с Регулятором. ФСТЭКРФ на семинарах и конференциях активно предлагает заключать договора слицензиатами. Но тут у меня возникает вопрос, какого объема услуг достаточно сточки зрения ФСТЭК?
Я встречал такой договор вкотором в основную абонентскую плату никаких услуг не включено, кроме удаленныхконсультаций. В случае критической необходимости по дополнительному соглашениюмогут привлекаться специалисты Лицензиата за дополнительную плату. Такойдоговор устраивает ФСТЭК?
А встречались наоборот варианты,где в каждом чихе участвовали специалисты Лицензиата. В том числе установке илиизменении конфигурации средств.
Посмотрим определение из ПП обутверждении «Положения о лицензировании деятельностипо технической защите конфиденциальной информации»:
“2. Под технической защитой конфиденциальной информации понимаетсякомплекс мероприятий и (или) услуг по ее защите от несанкционированногодоступа, в том числе и по техническим каналам, а также от специальныхвоздействий на такую информацию в целях ее уничтожения, искажения илиблокирования доступа к ней.”
Оператор внедряет СЗПДн = комплексмероприятий по защите ПДн от НСД, состоит из организационных мероприятий имероприятий по использованию СЗИ.
Возьмем оргмеры. Среди таких мербудут например меры по ограничению входа на контролируемую территорию, контрольнахождения сотрудников в помещениях. Получается, что служба охраны занимаетсятехнической защитой ПДн? И её надо отдаватьна аутсорсинг лицензиату.
Другими оргмерами по защите ПДн могутбыть – допуск сотрудников Оператора к обработке ПДн и учет таких сотрудников. Тоткто ведет такой учет, тоже технической защитой ПДн.
Возьмем самые простые случаи с СЗИ:
· Добавить пользователя,
· Заблокировать пользователя,
· Разблокировать пользователя,
· Проверитьфлешку на вирусы,
· Проверить журналы межсетевого экрана или того-жеантивируса
· Дать доступ пользователю в Интернет и многодругое.
Всё это относится к техническойзащиты КИ. Соответственно организациям решившим подстраховаться от ФСТЭК,придется отдавать все такие мероприятия на аутсорсинг.
