понедельник, 17 октября 2011 г.

Все лицензии нужны. Все лицензии важны

Недавно при очередном просмотре портала гос. закупок, наткнулся на довольно любопытный аукцион. Собственно вот он.
Домодедовская таможня озаботилась обеспечением безопасности персональных данных, предложив победителю аукциона провести следующие мероприятия:

-Обследование информационных систем Заказчика, выделение и описание информационной системы персональных данных);
-Моделирование реализации угроз безопасности ПДн и разработка частной модели угроз безопасности ИСПДн;
-Моделирование действий нарушителя безопасности ПДн, обрабатываемых в ИСПДн и разработка модели нарушителя;
-Подготовка Отчёта по результатам обследования ИСПДн;
-Оценка достаточности фактически реализованных мер по защите ПДн;
-Разработка (при необходимости) Технического задания на создание СЗПДн для реализации требований федерального законодательства и нормативных документов ФСТЭК России по обеспечению безопасности ПДн с учетом присвоенного класса защиты;
-Разработка (при необходимости) Технического проекта на создание СЗПДн для реализации требований федерального законодательства и нормативных документов ФСТЭК России по обеспечению безопасности ПДн с учетом присвоенного класса защиты;
-Разработка проекта Положения по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
-Разработка проектов организационно-распорядительных документов по обеспечению защиты ПДн;

Как видно из перечня, предполагалась разработка документации, включая проектирование системы защиты персональных данных, дело безусловно полезное и хорошо оплачиваемое. В чем же подвох? - спросите Вы.
Как оказалось всё дело в требованиях в участникам аукциона:

-Иметь Лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации (осуществление мероприятий и оказание услуг по технической защите конфиденциальной информации);
- Иметь Лицензию ФСТЭК России на деятельность, связанную с созданием средств защиты информации (осуществление разработки и производства средств защиты конфиденциальной информации);
-Иметь Лицензию ФСБ России на право осуществления разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем;
-Иметь Лицензию ФСБ России на право технического обслуживания шифровальных (криптографических) средств;
-Иметь Лицензию ФСБ России на право распространения шифровальных (криптографических) средств;
-Иметь аттестованные по требованиям безопасности, в соответствии с нормативными документами ФСТЭК России, помещение и АРМ для обработки конфиденциальной информации.

Зачем же все эти лицензии нужны для фактически бумажной работы? Не один я задался подобным вопросом, а анонимный интегратор даже попросил разъяснений:

 «Обоснуйте, пожалуйста, требования к исполнителю в части наличия следующих лицензий: 1) Лицензия ФСБ России на право распространения шифровальных (криптографических) средств 2) Лицензия ФСБ России на право технического обслуживания шифровальных (криптографических) средств 3) Лицензия ФСБ России на право осуществления разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем 4) Лицензия ФСТЭК России на деятельность, связанную с созданием средств защиты информации (осуществление разработки и производства средств защиты конфиденциальной информации). Проект предполагает проведение аудита, разработку документации, проектирование. Требования к вышеперечисленным лицензиям необоснованы.»
      
На что был получен интересный ответ:
Данные лицензии необходимы в соответствии с Постановлением Правительства  Российской Федерации от 29.12.2007 № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами», на основании ст. 41.6 п. 4.5 федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд», так как в Домодедовской таможне для обработки, хранения и передачи данных используются средства шифровальной (криптографической) защиты информации.  
    
На этом анонимный интегратор не успокоился и потребовал дальнейших разъяснений:
 
«Какие средства криптографической защиты или средства защиты конфиденциальной информации предполагается разрабатывать в рамках настоящего государственного контракта, который предполагает лишь проведение обследования и разработку организационно-распорядительной документации? Обоснуйте наличие лицензий ФСБ на разработку шифровальных средств и ФСТЭК на разработку средств защиты конфиденциальной информации. Данное Вами ранее обоснование считаем неудовлетворительным! Техническим заданием не предполагаются работы даже по проектированию системы защиты»

Но и представители Заказчика в долгу не остались: 
Разъяснение:
  лицензия ФСТЭК России на деятельность, связанную с созданием средств защиты информации (осуществление разработки и производства средств защиты конфиденциальной информации);
  лицензия ФСБ России на осуществление разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.
Данные лицензии необходимы для разработки организационно-распорядительных документов по обеспечению защиты персональных данных в информационных системах персональных данных, защищенных с использованием шифровальных (криптографических) средств, так как организационно-распорядительная документация по обеспечению защиты персональных данных является неотъемлемой частью информационных систем персональных данных. Также выполнением условий государственного контракта является разработка Технического проекта на создание средств защиты персональных данных.

Так то. Хотите разработать модель угроз? - Учитесь производить СЗИ.
Смысл ввода данных лицензий в требования к исполнителю вполне понятен ИБ-шникам, играющим на госзакупках. Что за статьи указал Заказчик в обосновании, для меня так же является загадкой. Но подобные курьезные ответы возникают не так часто, no comments, как говорится.
Буду следить за жалобами в ФАС :)

1 комментарий:

Анонимный комментирует...

Да...дизайн явно надо было бы сменить:)
Что что-нибудь поярче бы (