Требуется ли лицензия ФСТЭК для обслуживания ГИС? - Форум по вопросам информационной безопасности

Уважаемые коллеги.
По просьбе некоторых людей исследую гос. контракт на обслуживание 3х ГИС (все 3 есть в реестре ГИС и являются ГИС) ИМХО, исполнителю, для производства работ, требуется лицензия ФСТЭК по ТЗКИ потому что в ТЗ указаны следующие виды работ:

Услуги по администрированию серверной инфраструктуры ГИС1, ГИС2 и ГИС3
- обновление общего и специального программного обеспечения на новые версии для решения вопросов безопасности;
- проверку наличия критических или связанных с безопасностью обновлений общего программного обеспечения (при необходимости) на виртуальных машинах;

8.2 Услуги по мониторингу и администрированию ГИС1, ГИС2 и ГИС3
- мониторинг работоспособности аппаратных (виртуальных) средств для выявления инцидентов;
- мониторинг СУБД для предотвращения перезагрузок;
- мониторинг работоспособности баз данных для выявления наличия инцидентов;
- мониторинг работоспособности программного обеспечения, выявление инцидентов;
- создание учетных записей пользователей ГИС1, ГИС2 и ГИС3
- настройку учетных записей пользователей ГИС1, ГИС2 и ГИС3
- удаление или блокировку учетных записей пользователей ГИС1, ГИС2 и ГИС3
- исправление ошибок (в том числе возникших по вине пользователей);
- устранение сбоев;

8.5. Услуги по исследованию ГИС1, ГИС2 и ГИС3 с использованием внешних источников и специального программного обеспечения.

1. Анализ с использованием внешних источников информации специального программного обеспечения:
а) на предмет стабильности и работоспособности подсистем, связанных с взаимодействием компонентов или обработкой и хранением данных, в том числе:
- ошибок при обработке входных данных, позволяющих производить удаленное выполнение кода и отказ в обслуживании;
- ошибок, приводящих к нарушению логики функционирования компонентов;
- ошибок в настройке операционных систем и прикладных приложений;
- ошибок, связанных с внедрением интерпретируемых операторов языков программирования или разметки, произвольного программного кода;
- ошибок, связанных с переполнением памяти (буфера, стека, кучи);
- ошибок, связанных с раскрытием информации ограниченного доступа;
- ошибок, связанных с управлением полномочиями пользователей, привилегиями и доступом, аутентификацией, криптографическими преобразованиями пользовательской информации (в том числе парольных фраз);
- ошибок, связанных с проведением межсайтовых запросов;
- ошибок, приводящих к "состоянию гонки";
- ошибок, связанных с недостатками управления ресурсами.
б) взаимодействия интерфейсов пользователей и администраторов Систем;
в) конфигурации типового прикладного и системного программного обеспечения;
г) информационных стыков и интерфейсов взаимодействия с другими системами.

2. Анализ влияния выявленных ошибок на стабильное функционирование Систем.

3. Разработку рекомендаций по повышению уровня работоспособности и стабильности функционирования Систем путем изменения конфигурации и настроек оборудования, используемых защитных механизмов и программных средств, принятия дополнительных мер и применения дополнительных средств защиты, рекомендации по установке необходимых обновлений для используемого программного обеспечения.


Кто что скажет по этому поводу?

Интересует также вопрос, является ли ГИС СЗИ? Требуется ли для доработки функционала ГИС лицензия ФСТЭК?

Все 3 ГИС собирают и хранят персональные данные. У всех трех ГИС по акту классификации присвоен 3 класс

Открываем 79 постановление и смотрим, на какие виды услуг распространяется лицензия по ТЗКИ:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:

в средствах и системах информатизации;

в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;

в помещениях со средствами (системами), подлежащими защите;

в помещениях, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения);

б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

в) услуги по мониторингу информационной безопасности средств и систем информатизации;

г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:

средств и систем информатизации;

помещений со средствами (системами) информатизации, подлежащими защите;

защищаемых помещений;

д) работы и услуги по проектированию в защищенном исполнении:

средств и систем информатизации;

помещений со средствами (системами) информатизации, подлежащими защите;

защищаемых помещений;

е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации).

--

тут максимум можно притянуть Ваш пункт 8.5 к пункту б из лицензии.

Ответ - скорей всего да, нужна. Но только по пункту б.

Посмотрим еще мнения остальных.

Пока только одно мнение, может кто-то еще подскажет?

to Николай
Все нижесказанное на правах imho. Так-то сделайте запрос во ФСТЭК России (местное управление или головное) - получите ответ, которым и следует руководствоваться (в том числе и в случае решения спорных ситуаций)...
Если <обновление общего и специального программного обеспечения на новые версии для решения вопросов безопасности> включает в себя обновление компонент СЗИ, то это п. "е" Постановления №79 от 03.02.2012.
Если в <мониторинг работоспособности аппаратных (виртуальных) средств для выявления инцидентов> имеются в виду "инциденты безопасности" (а под них при желании можно подтянуть все, что угодно), то это п. "в" Постановления №79 от 03.02.2012.
Если <настройку учетных записей пользователей ГИС1, ГИС2 и ГИС3> трактовать в рамках обеспечения защиты информации в ИС, то это п. "е" Постановления №79 от 03.02.2012.
Если в работах согласно <Анализ с использованием внешних источников информации специального программного обеспечения> рассматривать как мониторинг состояния защищенности ИС, то это п. "в" Постановления №79 от 03.02.2012.
Если в <Разработку рекомендаций по повышению уровня ... используемых защитных механизмов и программных средств, принятия дополнительных мер и применения дополнительных средств защиты...> трактовать как работы, связанные с защитой информации, то это п. "б" Постановления №79 от 03.02.2012.

Короче, многое зависит от трактовки пунктов ТЗ. Причем в первую голову, трактовки этих пунктов Заказчиком. Обычно таких проблем не возникает, поскольку у Заказчика создается свое подразделение сисадминов и админов безопасности, на которых оные задачи и ложатся. Но если вы собираетесь взять на себя оные задачи (читай, на стороннюю привлекаемую контору), то, imho, лицензия вам понадобится с указанными выше пунктами. Как минимум в причину "прикрытия собственной ж*" на случай "изменения" трактовок ("ответственные лица переобулись в полете", ага) при внезапной проверке оных ГИС со стороны регулятора...
Можно поступить веселее, если у Заказчика все-таки имеется штат лиц, ответственных за безопасность. Тогда эти пункты идут как "работы общего назначения", а уже компетентные люди Заказчика следят за логикой и влиянием оных работ на состояние защищенности всех ГИС. Разделение труда и обязанностей в лучших традициях современных реалий, ага. Но у вас при этом не должно быть безапелляционного доступа и возможностей подменить сотрудников Заказчика по всему полю работ и, особенно, не должно быть фактических прав доступа к управлению реализованной системой защиты информации (читай, последнее слово за ИБ-отделом Заказчика). Если такое невозможно реализовать + лицензии ТЗКИ у вас не будет - готовьтесь, ага...

лицензия нужна