Автор: Конь в пальто | 111061 | 11.08.2023 19:41 |
Добрый день!
Просьба, пожалуйста, направить на путь истинный в вопросе защиты информации. Собственно, речь вот о чём. Планируем провести закупку на проектирование системы защиты для ГИСа. И те, кто отвечает за юридическую чистоту закупки, требуют подробно указать какие средства защиты имеются у заказчика, как настроены и т.д. Я просто указал (выбрал, то, что к нам относится) перечень областей защиты из пункта 20 Приказ ФСТЭК №17. Но им этого не достаточно, мол, чтобы потенциальный исполнитель мог точно рассчитать свои расходы - укажите, подробно что, как и зачем. А я считаю, что это информацию ограниченного доступа и предоставить ее можно будет только в рамках уже заключенного контракта, где будет прописано требование о соблюдении конфиденциальности информации, ан е выставлять все это на всеобщее обозрение. Прав ли я и как бы юридически отшить этих редисок (которые требуют)? Заранее спасибо. |
Автор: Практик | 111062 | 12.08.2023 13:12 |
Открываем применяемый у вас Перечень*** подлежащих засекречиванию. На память во всех их этот пункт есть. И пишете служебную записку. "В соответствии с п.** Документа *** требуемые сведения могут быть предоставлены только по письменному запросу исполнителя, посредством передачи спецсвязью" кстати, ещё вопрос, какую конфиденциальность придать служебной записке (на С натягивается без проблем). Если будут настаивать, процедуру им в руки и барабан на шею:
СудАкт: Судебные и нормативные акты РФСудебные и нормативные акты РФ Войти в личный кабинет СудАкт в соцсетях Верховный судАрбитражные судыСуды общей юрисдикцииМировые судьиЗаконодательствоОтветы на вопросы Положение о закупке товаров, работ, услуг Государственной корпорации по космической деятельности Роскосмос (утв. наблюдательным советом Госкорпорации Роскосмос, Протокол от 25.08.2020 N 38-НС) (ред. от 23.12.2022)>Положение>Глава VII. Особые закупочные ситуации>19. Особенности принятия решений, установления требований и (или) порядка проведения процедур закупок в отношении отдельных видов закупаемой продукции, рынков, закупочных ситуаций>19.5. Закупки, содержащие сведения, составляющие государственную тайну 19.5. Закупки, содержащие сведения, составляющие государственную тайну 19.5.1. При проведении закупок, по которым в извещении и (или) документации о закупке содержатся сведения, составляющие государственную тайну, Заказчик/Организатор закупки должен обеспечить соблюдение Законодательства по защите государственной тайны. 19.5.2. При проведении закупок, по которым в извещении и (или) документации о закупке содержатся сведения, составляющие государственную тайну, ЗК формируется из числа работников, имеющих право работать со сведениями, составляющими государственную тайну. 19.5.3. Закупки, содержащие в извещении и (или) документации о закупке сведения, составляющие государственную тайну: (1) не включаются в ПЗ, в том числе ПЗИП; (2) извещение и документация о закупке, протоколы и любая иная информация по таким закупкам подлежат официальному размещению в соответствии с Законом 223-ФЗ, принятыми в его развитие НПА, пунктами 3.1.2, 3.1.3 Положения. 19.5.4. Закупки, содержащие в извещении и (или) документации о закупке сведения, составляющие государственную тайну, проводятся исключительно в бумажной форме конкурентными способами в закрытой форме, либо у единственного поставщика в случаях, предусмотренных Положением, с учетом особенностей, обусловленных требованиями настоящего подраздела. К участию в закупке, проводимой в соответствии с настоящим подразделом, допускаются только поставщики, приглашенные Заказчиком/Организатором закупки. 19.5.5. К участникам процедуры закупки в дополнение к требованиям, предусмотренным подразделом 10.4 Положения, устанавливается требование о наличии у них лицензии на проведение работ с использованием сведений, составляющих государственную тайну. 19.5.6. Передача при проведении закупки участникам извещения, и (или) документации о закупке, иных сведений, составляющих государственную тайну, осуществляется при условии наличия у такого лица лицензии на проведение работ с использованием сведений соответствующей степени секретности, а у физических лиц - соответствующего допуска в порядке, определенном в документации о закупке. 19.5.7. Отчетность о проведении закупок, по которым в извещении и (или) документации о закупке содержатся сведения, составляющие государственную тайну, осуществляется в соответствии с порядком, предусмотренным Законодательством, правовыми актами Заказчика. |
Автор: Vlad | 111063 | 12.08.2023 18:46 |
Вместо конкретного натменования СЗИ, указывайте в ТЗ тип СЗИ. Например, вместо Secret Net пишите СЗИ от НСД, вместо какого-нибудь континента пишите СКЗИ, вместо какого-нибудь Соболя пишите СДЗ или МДЗ и т.п.
|
Автор: oko | 111064 | 12.08.2023 22:12 |
to Практик
Ну с "буквами" вы слишком уж строго для общего случая - это же ГИС. Впрочем, топикстартер конкретику не озвучивал, так что и "буква" и "Перечень" не исключены, ага... to Конь в пальто Если это "проектирование", то на выходе должен быть Технический (Эскизный) проект и, как максимум, предлагаемая спецификация СЗИ. Т.е. на момент составления ТЗ на проектирование никаких СЗИ/СКЗИ в принципе быть не может - они должны быть предложены Исполнителем в рамках проектных решений согласно Требованиям (перечню мер), предусмотренных Заказчиком (собственно, в формате ТЗ)... Если это "закупка под конкретный кем-то разработанный проект", то есть единственно верный вариант: ТЗ "размытое" по мерам защиты, а если Исполнитель хочет конкретики, то пусть приезжает и изучает существующий технический проект и иные предварительные документы, имеющие, как правило, ограничительную пометку или гриф конфиденциальности. О чем в ТЗ должно быть русским по белому указано, ага. Юридическое обоснование для такого подхода см. в ФЗ, ПП РФ или внутренних документах по линии своей конторы, определяющих порядок и правила обращения с соответствующими информацией/сведения/документами/материалами... |
Автор: Конь в пальто | 111065 | 13.08.2023 08:15 |
Добрый день!
Спасибо за интересные комментарии. Касаемо "секретки" - это не тот случай, 100%. Максимум ДСП. Приказ, внутренний есть, но (для уточнения) в нашем болоте те, кто отвечают "за юридическую чистоту закупки" не входят в структуру нашей конторы - им наш приказ - не приказ. Перечень областей защиты из пункта 20 Приказ ФСТЭК №17 - это вот оно и есть - общее описание требований к СЗИ. Важный момент в том, что мы в ТЗ на Техпроект указываем, что Исполнитель должен учитывать наличие у Заказчика приобретенных СЗИ и вообще, мы не с нуля начинаем, а проводим переаттестацию (формально - новая аттестация, конечно) по 77 приказу. Раз мы прописываем такое требование, то, мол укажите что имеется и в каком виде - подробно. Я так подумал, что наверное вопрос можно переформулировать следующим образом: В каком нормативном документе прописано требования, обязанность (да хотя бы рекомендации), что техпроект на систему защиты информационной системы (ГИС/МИС) должен быть документом с ограниченным доступом? Возможно можно по этому пути пойти. |
Автор: oko | 111066 | 13.08.2023 14:07 |
to Конь в пальто
Если это повторная аттестация, то аттестационная документация, в которой помимо прочего тоже расписываются и состав, и коефигурации самой ГИС и ее КСЗ, наверняка имеет ограничительную пометку/гриф. Если это так, то пусть юристы, отвечающие за чистоту и порядок, попробуют убедить юристов, отвечающих за (не)получение люлей за разглашение конфиденциальных сведений. Один косяк, если весь комплекс режимных мер по конфи-делопроизводству у вас введен для галочки. Тогда можно пугануть именем наших дорогих регуляторов и намекнуть на текущую обстановку в стране... А если у вас ГИС косвенно подпадает под Приказ ФСБ 547 за 2022 или дополнительно имеет статус объекта КИИ, то обоснование само идет в руки, ага... |
Просмотров темы: 415