Отсутствие требования по наличию у Подрядчика полного комплекта лицензий на предоставление услуг и производства работ в соответствии с п 12 (ФСБ) и п «е» (ФСТЭК) на этапе формирования КТЗ/ООЗ нарушает или делает невозможным соблюдения этапности разработки ГИС, закрепленный в ГОСТ Р 59793-2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» и в постановлении Правительства РФ от 06.07.2015 N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"
На этапе заключения контракта (составления КТЗ/ООЗ) на создание (развитие) ГИС никогда невозможно определить необходимость или отсутствие необходимости проведения работ по:
- установке (инсталляции), наладке шифровальных (криптографических) средств (ФСБ, 12 пункт);
- услуг по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (ФСТЭК, пункт «е»),
ввиду того, что технические решения по реализации новых функциональных требований еще не разработаны, а тем более не разработана подсистема СЗИ и соответственно не определена необходимость проведения работ по СрЗИ/СКЗИ. Только по окончании разработки подсистемы СЗИ возникает однозначное понимание в необходимости проведении вышеупомянутых работ по отношению к СрЗИ или/и СКЗИ.
Необходимость применения новых или необходимость изменения в существующих СрСЗИ/СЗИ может возникнуть в ходе исполнения Госконтракта при:
- реализации новых функциональных требований к ГИС;
- при возникновении новых требований регуляторов;
- при изменении требований законодательства;
- при применении уже существующих требований регуляторов, по каким-либо причинам, не применявшимся ранее;
- при появлении новых видов угроз и уязвимостей в применяемом ПО, ОС, СУБД или средствах виртуализации.
Ввиду того, что ситуация с информационной безопасностью быстро и непредсказуемо изменяется, целесообразно предусмотреть возможность оперативного применения мер защиты от угроз и уязвимостей, включая реализацию данных мер в рамках исполнения текущего контракта.
В случае, если у Подрядчика не окажется действующих лицензий ФСТЭК (пункт «е») и ФСБ (пункт 12), и при возникновении необходимости применить меры защиты, требующих исполнения работ или услуг по установке/настройке СрЗИ, то может возникнуть случай неисполнения контракта, либо риск пренебрежения необходимыми мерами информационной безопасности.
Таким образом, отсутствие данных требований к наличию лицензий у Подрядчика потенциально снижает качество разработки ГИС.
Вывод: При заключении контракта на создание (развитие) ГИС мы вправе и обязаны требовать от Подрядчика наличие полного комплекта лицензий ФСТЭК (пункты «д» и «е») и ФСБ (пункты 2, 12), потенциально необходимого для качественного исполнения контракта и уменьшения рисков неисполнения контракта.