Защита информации при проектировании системы защиты ГИС - Форум по вопросам информационной безопасности

Добрый день!

Просьба, пожалуйста, направить на путь истинный в вопросе защиты информации.
Собственно, речь вот о чём.

Планируем провести закупку на проектирование системы защиты для ГИСа.
И те, кто отвечает за юридическую чистоту закупки, требуют подробно указать какие средства защиты имеются у заказчика, как настроены и т.д.
Я просто указал (выбрал, то, что к нам относится) перечень областей защиты из пункта 20 Приказ ФСТЭК №17.
Но им этого не достаточно, мол, чтобы потенциальный исполнитель мог точно рассчитать свои расходы - укажите, подробно что, как и зачем.
А я считаю, что это информацию ограниченного доступа и предоставить ее можно будет только в рамках уже заключенного контракта, где будет прописано требование о соблюдении конфиденциальности информации, ан е выставлять все это на всеобщее обозрение.

Прав ли я и как бы юридически отшить этих редисок (которые требуют)?

Заранее спасибо.

Открываем применяемый у вас Перечень*** подлежащих засекречиванию. На память во всех их этот пункт есть. И пишете служебную записку. "В соответствии с п.** Документа *** требуемые сведения могут быть предоставлены только по письменному запросу исполнителя, посредством передачи спецсвязью" кстати, ещё вопрос, какую конфиденциальность придать служебной записке (на С натягивается без проблем). Если будут настаивать, процедуру им в руки и барабан на шею:
СудАкт: Судебные и нормативные акты РФСудебные и нормативные акты РФ
Войти в личный кабинет

СудАкт в соцсетях

Верховный судАрбитражные судыСуды общей юрисдикцииМировые судьиЗаконодательствоОтветы на вопросы

Положение о закупке товаров, работ, услуг Государственной корпорации по космической деятельности Роскосмос (утв. наблюдательным советом Госкорпорации Роскосмос, Протокол от 25.08.2020 N 38-НС) (ред. от 23.12.2022)>Положение>Глава VII. Особые закупочные ситуации>19. Особенности принятия решений, установления требований и (или) порядка проведения процедур закупок в отношении отдельных видов закупаемой продукции, рынков, закупочных ситуаций>19.5. Закупки, содержащие сведения, составляющие государственную тайну
19.5. Закупки, содержащие сведения, составляющие государственную тайну
19.5.1. При проведении закупок, по которым в извещении и (или) документации о закупке содержатся сведения, составляющие государственную тайну, Заказчик/Организатор закупки должен обеспечить соблюдение Законодательства по защите государственной тайны.

19.5.2. При проведении закупок, по которым в извещении и (или) документации о закупке содержатся сведения, составляющие государственную тайну, ЗК формируется из числа работников, имеющих право работать со сведениями, составляющими государственную тайну.

19.5.3. Закупки, содержащие в извещении и (или) документации о закупке сведения, составляющие государственную тайну:

(1) не включаются в ПЗ, в том числе ПЗИП;

(2) извещение и документация о закупке, протоколы и любая иная информация по таким закупкам подлежат официальному размещению в соответствии с Законом 223-ФЗ, принятыми в его развитие НПА, пунктами 3.1.2, 3.1.3 Положения.

19.5.4. Закупки, содержащие в извещении и (или) документации о закупке сведения, составляющие государственную тайну, проводятся исключительно в бумажной форме конкурентными способами в закрытой форме, либо у единственного поставщика в случаях, предусмотренных Положением, с учетом особенностей, обусловленных требованиями настоящего подраздела. К участию в закупке, проводимой в соответствии с настоящим подразделом, допускаются только поставщики, приглашенные Заказчиком/Организатором закупки.

19.5.5. К участникам процедуры закупки в дополнение к требованиям, предусмотренным подразделом 10.4 Положения, устанавливается требование о наличии у них лицензии на проведение работ с использованием сведений, составляющих государственную тайну.

19.5.6. Передача при проведении закупки участникам извещения, и (или) документации о закупке, иных сведений, составляющих государственную тайну, осуществляется при условии наличия у такого лица лицензии на проведение работ с использованием сведений соответствующей степени секретности, а у физических лиц - соответствующего допуска в порядке, определенном в документации о закупке.

19.5.7. Отчетность о проведении закупок, по которым в извещении и (или) документации о закупке содержатся сведения, составляющие государственную тайну, осуществляется в соответствии с порядком, предусмотренным Законодательством, правовыми актами Заказчика.

Вместо конкретного натменования СЗИ, указывайте в ТЗ тип СЗИ. Например, вместо Secret Net пишите СЗИ от НСД, вместо какого-нибудь континента пишите СКЗИ, вместо какого-нибудь Соболя пишите СДЗ или МДЗ и т.п.

to Практик
Ну с "буквами" вы слишком уж строго для общего случая - это же ГИС. Впрочем, топикстартер конкретику не озвучивал, так что и "буква" и "Перечень" не исключены, ага...

to Конь в пальто
Если это "проектирование", то на выходе должен быть Технический (Эскизный) проект и, как максимум, предлагаемая спецификация СЗИ. Т.е. на момент составления ТЗ на проектирование никаких СЗИ/СКЗИ в принципе быть не может - они должны быть предложены Исполнителем в рамках проектных решений согласно Требованиям (перечню мер), предусмотренных Заказчиком (собственно, в формате ТЗ)...
Если это "закупка под конкретный кем-то разработанный проект", то есть единственно верный вариант: ТЗ "размытое" по мерам защиты, а если Исполнитель хочет конкретики, то пусть приезжает и изучает существующий технический проект и иные предварительные документы, имеющие, как правило, ограничительную пометку или гриф конфиденциальности. О чем в ТЗ должно быть русским по белому указано, ага. Юридическое обоснование для такого подхода см. в ФЗ, ПП РФ или внутренних документах по линии своей конторы, определяющих порядок и правила обращения с соответствующими информацией/сведения/документами/материалами...

Добрый день!

Спасибо за интересные комментарии.

Касаемо "секретки" - это не тот случай, 100%. Максимум ДСП.

Приказ, внутренний есть, но (для уточнения) в нашем болоте те, кто отвечают "за юридическую чистоту закупки" не входят в структуру нашей конторы - им наш приказ - не приказ.

Перечень областей защиты из пункта 20 Приказ ФСТЭК №17 - это вот оно и есть - общее описание требований к СЗИ.

Важный момент в том, что мы в ТЗ на Техпроект указываем, что Исполнитель должен учитывать наличие у Заказчика приобретенных СЗИ и вообще, мы не с нуля начинаем, а проводим переаттестацию (формально - новая аттестация, конечно) по 77 приказу.
Раз мы прописываем такое требование, то, мол укажите что имеется и в каком виде - подробно.

Я так подумал, что наверное вопрос можно переформулировать следующим образом:

В каком нормативном документе прописано требования, обязанность (да хотя бы рекомендации), что техпроект на систему защиты информационной системы (ГИС/МИС) должен быть документом с ограниченным доступом?

Возможно можно по этому пути пойти.

to Конь в пальто
Если это повторная аттестация, то аттестационная документация, в которой помимо прочего тоже расписываются и состав, и коефигурации самой ГИС и ее КСЗ, наверняка имеет ограничительную пометку/гриф. Если это так, то пусть юристы, отвечающие за чистоту и порядок, попробуют убедить юристов, отвечающих за (не)получение люлей за разглашение конфиденциальных сведений. Один косяк, если весь комплекс режимных мер по конфи-делопроизводству у вас введен для галочки. Тогда можно пугануть именем наших дорогих регуляторов и намекнуть на текущую обстановку в стране...
А если у вас ГИС косвенно подпадает под Приказ ФСБ 547 за 2022 или дополнительно имеет статус объекта КИИ, то обоснование само идет в руки, ага...