Роли заказчиков и исполнителей в СИБ

от

«Информационная безопасность — это не о железках и софте, а о распределении ответственности. Самый защищённый объект не тот, где стоит новейший межсетевой экран, а тот, где за каждую дверь, каждую политику доступа и каждую строку в акте отвечает конкретное лицо. Юридически оформленная роль — это единственное, что спасёт проект при проверке или инциденте».

Роли заказчика в системе информационной безопасности

В контексте регулирования ФСТЭК и 152-ФЗ «заказчик» — это не просто платёжеспособная сторона. Это субъект, который по закону несёт полную ответственность перед государством за состояние защищённости информации. Его подпись под актами — это не формальность, а юридическое принятие на себя всех рисков, связанных с внедряемой системой. Его основная функция — трансляция бизнес-процессов и регуляторных требований в чёткие границы проекта, критерии приёмки и распределение зон ответственности.

Ключевые обязанности заказчика

  • Формулировка требований к защите информации. На основе утверждённой модели угроз и оценки рисков определяются не только технические параметры, но и организационно-распорядительные меры. Эти требования становятся фундаментом для проектной документации и последующей аттестации.
  • Определение критериев успешности и приёмки. Установление верифицируемых метрик: время отклика на инциденты, соответствие требованиям к резервному копированию, конкретные результаты тестов на проникновение, утверждённые протоколы испытаний.
  • Организация управления проектом. Создание единой точки взаимодействия между своими службами — IT, ИБ, юристами, внутренним аудитом — и исполнителем. Контроль за соблюдением этапов, сроков и бюджета.
  • Утверждение всей технической и проектной документации. Согласование технического задания, проектной документации, паспорта системы и, что критически важно, актов всех промежуточных и приёмочных испытаний. Без этого юридически завершить работы невозможно.
  • Создание условий для эксплуатации. Выделение ответственных администраторов, обеспечение физического и сетевого доступа к инфраструктуре, подготовка персонала для работы со сданной системой.

Заказчику стоит воздержаться от прямых указаний вроде «использовать межсетевой экран конкретного вендора». Его задача — описать, какие классы атак должен парировать этот экран, какие типы трафика являются легитимными, а какие блокируются, какие отчёты и логи должны формироваться. Вмешательство в технические детали без компетенции часто приводит к системе, формально соответствующей ТЗ, но бесполезной в реальных условиях эксплуатации.

Структура команды заказчика по требованиям 152-ФЗ

Требования регулятора подразумевают не абстрактную, а персональную ответственность. Для объектов защиты с высоким уровнем значимости формируется структура с юридически закреплёнными обязанностями:

  • Руководитель объекта защиты — уполномоченное лицо от заказчика, несущее персональную ответственность. Именно его приказом назначается комиссия по аттестации.
  • Менеджер проекта по внедрению СИБ — отвечает за оперативное управление: контроль сроков, бюджетов, организация согласований и статусных встреч.
  • Главный инженер по информационной безопасности (от заказчика) — ключевая техническая роль. Проверяет, соответствуют ли решения исполнителя не только ТЗ, но и всем актуальным методическим рекомендациям ФСТЭК. Его виза на чертежах и схемах обязательна.
  • Представитель службы внутреннего контроля (аудита) — обеспечивает прозрачность закупочных процедур и документооборота, что критически важно при работе с внешними подрядчиками для исключения коррупционных рисков.

Назначение этих лиц должно быть оформлено внутренними приказами. Любой промежуточный акт от исполнителя требует подписей как минимум руководителя проекта и главного инженера заказчика. Это не бюрократия, а механизм фиксации факта информированного согласия заказчика на каждом этапе.

Роли исполнителя в СИБ

Исполнитель — сторона, преобразующая формализованные требования в работающую физическую и программную систему. Его ключевая задача — доказать в рамках актов и протоколов испытаний, что реализованное решение соответствует каждому пункту ТЗ и нормативным актам ФСТЭК. Выбор исполнителя определяет не только итоговую стоимость, но и саму возможность успешного прохождения аттестации.

Типы исполнителей и их особенности

Выбор между внутренними силами и внешним подрядчиком редко бывает однозначным и зависит от наличия у заказчика лицензии ФСТЭК.

Внутренний исполнитель (штатные сотрудники)

  • Преимущество: глубокое понимание внутренней инфраструктуры и бизнес-процессов.
  • Риск: возможный дефицит специализированного опыта по прохождению аттестации конкретных типов систем, «замыливание взгляда» на внутренние проблемы.

Внешний подрядчик (специализированная организация)

  • Преимущество: концентрированная экспертиза, наличие действующих допусков ФСТЭК к работам, что является обязательным для ряда объектов.
  • Риск: формальный подход, «коробочное» решение, плохо адаптированное под процессы заказчика. Требует жёсткого процессного управления.

Если у заказчика отсутствует собственная лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации, привлечение аттестованного подрядчика становится не выбором, а обязательным требованием закона.

Права и обязанности исполнителя

  • Разработка и согласование проектной документации, полностью соответствующей ТЗ и нормам ФСТЭК.
  • Выполнение монтажно-наладочных работ с фиксацией каждого этапа подписываемыми актами.
  • Проведение предварительных и приёмочных испытаний по согласованным методикам с предоставлением полных протоколов.
  • Формирование и передача полного комплекта эксплуатационной документации: паспортов, руководств, журналов учёта.
  • Обучение персонала заказчика и техническое сопровождение на гарантийный период.

Важное юридическое уточнение: исполнитель отвечает за соответствие системы именно утверждённому ТЗ и проекту. Если в ТЗ была заложена архитектурная или методологическая ошибка, но заказчик её утвердил, ответственность за последствия этой ошибки лежит на заказчике. Исполнитель обязан предупредить о выявленных рисках, но не должен менять согласованный проект за свой счёт.

Взаимодействие заказчика и исполнителя

Эффективность взаимодействия измеряется отсутствием сюрпризов на этапе приёмки и аттестации. Его основу составляют процессные, а не личные договорённости.

  • Чёткое определение границ ответственности в договоре и ТЗ. Должны быть явно прописаны зоны: например, заказчик обеспечивает электропитание и физическую безопасность серверной, исполнитель — настройку и интеграцию оборудования.
  • Строгая система управления изменениями. Любое отклонение от ТЗ, даже кажущееся улучшением, оформляется дополнительным соглашением. Без этого исполнитель рискует не получить подпись в акте выполненных работ, так как работа будет считаться выполненной не по контракту.
  • Регулярная статус-отчётность по утверждённой форме. Отчёт должен включать не только перечень выполненных работ, но и выявленные проблемы, риски и перечень необходимых решений или действий от заказчика.
  • Ведение единого журнала проекта. Фиксация всех ключевых событий, решений, замечаний. Этот документ становится основным при разборе спорных ситуаций и при проверке регулятором.

Практически любой спор о соответствии системы требованиям ФСТЭК упирается в документацию. Если спорное техническое решение было детально описано в проекте и утверждено главным инженером заказчика, претензии регулятора адресуются заказчику. Если исполнитель внёс изменения без согласования — вся юридическая и финансовая ответственность ложится на него.

Ошибки, разрушающие баланс ответственности

  • Заказчик требует «сделать как у конкурентов», игнорируя собственную модель угроз. Приводит к ситуации, когда система формально соответствует чужим требованиям, но не решает собственные задачи и не проходит аттестацию по исходным документам.
  • Исполнитель «помогает» заказчику, выполняя работы без актов. Создаёт «серую» зону ответственности. При инциденте выясняется, что часть системы документально не принята, и предъявлять претензии не к кому.
  • Экономия на этапе проектирования. Попытка сразу перейти к монтажу приводит к бесконечным дорогостоящим доработкам на месте, конфликтам и срыву сроков аттестации.
  • Неучёт необходимости аттестации персонала. Согласно требованиям, администраторы СЗИ должны быть аттестованы. Если этот вопрос не решён на старте, он станет критичным препятствием для ввода системы в эксплуатацию.

Устойчивая система информационной безопасности — это всегда результат правильно выстроенного контракта и процессов управления. Заказчик, который детально прописывает «что» и «зачем», и исполнитель, который профессионально реализует «как», создают не просто набор устройств, а управляемый защитный контур с предсказуемым поведением и чётким распределением юридической ответственности.

Загрузка…

Оставьте комментарий