Судова практика з побудови систем захисту персональних даних і трохи про атестацію

Продовжуємо дивитися судові рішення по ІБ Продовжуємо дивитися судові рішення по ІБ. Ми вже обговорювали кілька показових справ тут і тут .

Прийшов час обговорити проекти по створенню систем захисту персональних даних та проведення атестації. Таких судових справ багато, рішень, також багато, але ми препаруємо тільки одне, але наочне.

Справа була в застінках Арбітражного суду Калінінградської області, самі рішення тут і тут .

Цікаво дане рішення тим, що суддя Залужная Ю.Д. дуже глибоко занурилася в тему і детально виклала позицію з цілої низки спірних питань.

Вступна

11 правил, які потрібно дотримуватися, якщо ви входите в судовий процес, що стосується питань інформаційної безпеки
  • Контракт укладений між Міністерством охорони здоров'я і Ростелекомом
  • Ростелеком взяв на себе зобов'язання по створенню регіонального сегменту єдиної державної інформаційної системи у сфері охорони здоров'я (РС ЕГІСЗ), відповідно до технічного завдання та вимог чинних нормативно-технічних та методичних документів ФСТЕК і ФСБ Росії, нормативно-правових актів щодо захисту персональних даних, а також нормами чинного законодавства (остання фраза дуже важлива, тому що її використовують в договорах багато Замовники і Виконавці)
  • Ростелеком привертав підрядників для різних робіт за контрактом, в тому числі на проведення атестації привертав ТОВ «АІБ»
  • За результатами атестації ТОВ «АІБ» підготувало негативний висновок

Що цікавого?

  • Суд прийшов до висновку, що Ростелеком не був зобов'язаний поставляти сертифіковане у ФСТЕК обладнання, так само як і проводити сертифікацію самостійно, тому що Технічне завдання до Контракту не передбачає передачу на адресу Відповідача програмне забезпечення, яке має сертифікат відповідності ФСТЕК.
  • Оскільки зобов'язання по створенню самої системи захисту інформації (крім процедури атестації) Замовник прийняв на себе, то і процедура сертифікації повинна бути проведена ним самостійно. Іншими словами, суд порахував, що РС ЕГІСЗ МОЗ створює самостійно, і перекладає на Ростелеком тільки частина робіт.
  • Розробка і впровадження системи захисту інформації як зобов'язання виконавця в Технічному завданні не зазначені. Більш того, впровадження системи захисту здійснювалося, як випливає з матеріалів справи, самим Міністерством охорони здоров'я і не ставилася на ВАТ «Ростелеком», що виконував за Контрактом дуже вузьке завдання - перевірку створеної держзамовником системи захисту інформації на відповідність встановленим вимогам.

Виходить, що суд в першу чергу читав Технічне завдання, а також перелік робіт в договорі і / або його додатках.

Якщо в переліку робіт з'являється фраза на кшталт «атестація Системи на відповідність рівню захищеності по К1» це зовсім не означає, що за результатами атестації має бути підтверджений вказаний рівень.

Якщо суд вважатиме, що якісь з обов'язкових робіт або поставок, необхідні для успішного проходження атестації, не були здійснені Виконавцем, при цьому Виконавець не приймав на себе зобов'язань по їх виконанню (за договором), то суд не зобов'яже його їх робити.

Таким чином, Технічне завдання, так само як і договір, повинні складатися таким чином, щоб в них фігурувало все необхідне для проходження атестації, в іншому випадку негативний висновок буде вважатися правомірним.