Продолжаем смотреть судебные решения по ИБ. Мы уже обсуждали несколько показательных дел здесь и здесь .
Пришло время обсудить проекты по созданию систем защиты персональных данных и проведению аттестации. Таких судебных дел много, решений, также много, но мы препарируем только одно, но наглядное.
Дело было в застенках Арбитражного суда Калининградской области, сами решения тут и тут .
Интересно данное решение тем, что судья Залужная Ю.Д. очень глубоко погрузилась в тему и подробно изложила позицию по целому ряду спорных вопросов.
Вводная
- Контракт заключен между Минздравом и Ростелекомом
- Ростелеком взял на себя обязательство по созданию регионального сегмента единой государственной информационной системы в сфере здравоохранения (РС ЕГИСЗ), в соответствии с техническим заданием и требованиями действующих нормативно-технических и методических документов ФСТЭК и ФСБ России, нормативно-правовых актов по защите персональных данных, а также нормами действующего законодательства (последняя фраза очень важна, т.к. ее используют в договорах многие Заказчики и Исполнители)
- Ростелеком привлекал подрядчиков для различных работ по контракту, в том числе на проведение аттестации привлекал ООО "АИБ"
- По результатам аттестации ООО "АИБ" подготовило отрицательное заключение
Что интересного?
- Суд пришел к выводу, что Ростелеком не был обязан поставлять сертифицированное во ФСТЭК оборудование, равно как и проводить сертификацию самостоятельно, т.к. Техническое задание к Контракту не предусматривает передачу в адрес Ответчика программное обеспечение, которое имеет сертификат соответствия ФСТЭК.
- Поскольку обязательства по созданию самой системы защиты информации (кроме процедуры аттестации) Заказчик принял на себя, то и процедура сертификации должна быть произведена им самостоятельно. Другими словами, суд посчитал, что РС ЕГИСЗ Минздрав создает самостоятельно, и перекладывает на Ростелеком только часть работ.
- Разработка и внедрение системы защиты информации как обязательство исполнителя в Техническом задании не поименовано. Более того, внедрение системы защиты осуществлялось, как следует из материалов дела, самим Минздравом и не относилась на ОАО "Ростелеком", выполнявшего по Контракту очень узкую задачу проверку созданной Госзаказчиком системы защиты информации на соответствие установленным требованиям.
Получается, что суд в первую очередь читал Техническое задание, а также перечень работ в договоре и/или его приложениях.
Если в перечне работ появляется фраза вроде "аттестация Системы на соответствие уровню защищенности по К1" это вовсе не означает, что по результатам аттестации должен быть подтвержден указанный уровень.
Если суд посчитает, что какие-то из обязательных работ или поставок, требуемые для успешного прохождения аттестации, не были произведены Исполнителем. При этом Исполнитель не принимал на себя обязательств по их исполнению (по договору), то и суд его не обяжет его их делать.
Таким образом, Техническое задание, равно как и договор, должны составляться таким образом, чтобы в них фигурировало все необходимое для прохождения аттестации, в противном случае отрицательное заключение будет считаться правомерным.