воскресенье, 11 марта 2018 г.

КИО для лицензии ТЗКИ

       21.04.2017 ФСТЭК выложила на сайте очередной вариант перечня КИО для лицензиатов ТЗКИ. (Интересно, что апрельская дата не указана в скане документа и реквизиты действующего документа туманны)
       Изменения в версию от 16 декабря 2016 внесены существенные. Изменилась сама идеология требований к лицензиатам по услугам мониторинга. Так же это повлекло изменение терминологии, используемой в перечне. 
      ФСТЭК полностью отошла от терминологии от ПП 79: вид лицензируемой деятельности - (в) мониторинг информационной безопасности СРЕДСТВ И СИСТЕМ ИНФОРМАТИЗАЦИИ. В декабрьской версии перечня функционал КИО так и описывался. Смотрим апрельский перечень и удивляемся – «для оказания услуг по мониторингу информационной безопасности ИНФОРМАЦИОННЫХ СИСТЕМ». Еще резануло глаз использование жаргона в официальном документе («песочница»).
       Изменения коснулись не только лицензиатов по мониторингу (в), но и работам «е».
       Сравниваем изменения в перечне: Декабрь/ (Апрель)
1. Пункт 19 «Средства контроля эффективности применения СЗИ» разбили на три пункта: 19 «Средства поиска остаточной информации на машинных носителях» и 20 «Средства контроля подключения устройств», при этом исчезла задача «Анализ защищенности сетей передачи данных».
2. Исключена необходимость наличия оборудования п.19/(19+20) для лицензиатов по работам «е» - установка, монтаж, испытания, ремонт средств защиты информации.
3. Исключена необходимость наличия оборудования п.20/(21) для лицензиатов по работам «в» - мониторинг ИБ.
      Теперь вернемся к идеологии, в чем выразилось ее изменение:
1. Перечень КИО – это перечень «инструмента» для оказания услуги. И до декабря 2016 года ФСТЭК придерживалась этого принципа, но сначала появились «средства защиты каналов передачи данных», а в апреле «система защиты информации ИС, используемых для мониторинга». Но эти средства и система защиты не оказывают никаких услуг Заказчику, они не являются инструментами. Эти требования должны быть прописаны в ПП 79, а не в подведомственном акте ФСТЭК. Причина этого понятна, в итоге –имеем то, что имеем.
2. В декабре ФСТЭК рассматривала СОВ/СОА (п.26) как инструмент для оказания услуг мониторинга Заказчику и это было логично, особенно с точки зрения ГосСопки. В апреле ФСТЭК убрала из перечня СОВ. Да, он остался в системе защиты системы мониторинга, но это «для собственных нужд». А что с Заказчиком? И основной вопрос – надо ли получать лицензию на мониторинг ведомственным/корпоративным сегментам ГосСопки? 
3. Ранее ФСТЭК требовала аттестацию по К1 ГИС «информационной системы, предназначенной для мониторинга» (п.33), а теперь «системы защиты информации информационных систем, используемых для мониторинга». Разницы очень существенная для оператора системы мониторинга. 
4. Убрали требование по нахождению системы мониторинга по адресу осуществления деятельности.
5. Появились требования к наличию формуляров на оборудование п.28/(23) «песочница», п.29/(24), п.31/(26). Формуляры придется оформлять по ГОСТ 19.501-78 – форма заполнения и содержание формуляра на программный продукт, определяемый в ГОСТ 19.105-78. Не самая тривиальная задача.
6. Требования о наличии сертификатов ФСТЭК осталось «не расшифрованным». Но в декабре было больше определенности, так как эти системы должны были быть аттестованы как ГИС по К1. И требования по сертификатам вытекали из 17 приказа, а теперь все туманно.
7. «Системы» превратились в «Средства». Было «Система управления инцидентами ИБ», а стало «Средство управления инцидентами ИБ» и т.д. И описание требований изменилось.

Комментариев нет:

Отправить комментарий