Последовательность работ при развитии ИС - Форум по вопросам информационной безопасности

Доброго времени суток, коллеги!

Интересует профессиональное мнение.

Ситуация: Есть ИС, аттестованная как ГИС и ИСПДн. Для этой ИС проводятся работы по развитию (модернизации), включая работы по развитию (модернизации) системы защиты информации для этой ИС (далее - СЗИ ИС). Работы по развитию ИС и развитию СЗИ ИС ведутся параллельно и завершаются в один срок. Отдельно для ИС и для СЗИ ИС выполняются испытания (предварительные, опытная эксплуатация, приёмочные).

Вопросы: Допустимо ли завершать работы по развитию СЗИ ИС и аттестовывать ИС до окончания работ по развитию ИС? Есть ли какая-либо нормативка, позволяющая это делать?

Логично, что сначала должны выполняться работы по развитию ИС, проводится испытания, а после приемочных испытаний ИС начинаться работы по развитию СЗИ ИС и также проводится испытания, но уже СЗИ ИС и в завершении проводится аттестационные испытания всей ИС. На практике бывает иначе, к сожалению, работы идут не последовательно, а параллельно, при этом работы по развитию ИС и развитию СЗИ ИС выполняются разными подрядчиками. И если подрядчик завершил работы по развитию СЗИ ИС ранее, аттестовал ИС, то нужно это как-то обосновать.

В ТЗ это все рассматривается и обосновывается. Разными разделами. К которым, при необходимости, допускаются разные подрядчики раздельно...
imho, бредятина делать отдельные ТЗ на модернизацию ОИ непосредственно и на модернизацию КСЗ. По-хорошему, тем более для случая уже эксплуатируемого ОИ, КСЗ должна быть глубоко в него встроена. И, при серьезной модернизации ОИ, риск переработки КСЗ "по горячим следам" повышается. А если исполнитель КСЗ уже сдал, но ОИ по функциональной части все еще не модернизирован, то... последствия, думаю, понятны. И с тем же анализом уязвимостей "до того как ОИ модернизируется до конца" тоже утычка получается...
На месте Владельца ОИ (а именно он по Приказу 77 теперь ключевое лицо) прямо в ПиМ бы прописывал: аттестационные испытания проводятся на этапе приемочных испытаний по результатам модернизации всего ОИ в целом. И точка, ага. Чтобы хитрый Исполнитель №2 (особенно, единый в двух лицах - и ПНР КСЗ, и АТТ разными работниками из одного штата) не смог быстро-быстро слепить бумажки, и оставить Владельца ОИ с нерабочей КСЗ, позже прикрываясь классическим "это ваши модернизаторы все поломали - наше Заключение было выдано ранее, когда все было хорошо"...