15 Ноября, 2012

Исследование оценки соответствия средств защиты информации в России

Алексей Лукацкий
Заканчиваю я исследование вопросов оценки соответствия средств защиты информации. Тема регулярно всплывает на разных мероприятиях, в разных блогах и статьях. Куча вопросов по ней, куча нюансов, куча заблуждения. Поэтому решил свести все воедино и постараться ответить на многие из возникающих неопределенности. Не могу сказать, что расставлю все точки над i, но попробовать стоит. Более того, скорее всего мой взгляд на это врядли будет поддержан регуляторами. Но коль скоро от них на тему оценки соответствия так ничего и не появилось за почти 20 лет с момента вызода 608-го Постановления Правительства, 199-го приказа ФСТЭК и 564-го приказа ФСБ и регистрации добровольных систем сертификации СЗИ и СКЗИ (закрытое 330-е Постановление Правительства я в расчет не беру, но про него немного буду говорить), то пусть планируемый к выпуску документ подтолкнет их хоть к какому-то решению по данному вопросу.

Почему я пишу этот пост о невышедшем пока исследовании? Все просто. Я покажу структуру документа и хочу спросить, что еще стоит в него включить. Понимаю, что без самого текста это непросто, но вдруг есть явные лакуны в структуре изложения? Структура такова:

  • Введение
  • Что такое оценка соответствия?
    • Законодательство о техническом регулировании
    • ISO 17000
  • Зачем нужна оценка соответствия?
  • В каких формах может проводиться оценка соответствия?
    • Государственный контроль и надзор
    • Аккредитация
    • Испытания
    • Регистрация
    • Подтверждение соответствия
      • Добровольная сертификация
      • Декларирование соответствия
      • Обязательная сертификация
    • Приемка и ввод в эксплуатацию
    • Иные формы
  • Какие формы оценки соответствия и когда необходимы?
  • Кто может проводить оценку соответствия?
  • Выводы
 Это была первая часть исследования. Будет и вторая. Она посвящена именно вопросу сертификации средств защиты информации. Ее предварительная структура такова:

  • Введение
  • Требования по сертификации
    • Позиция ФСТЭК, ФСБ и Министерства Обороны
    • Система сертификации ФСТЭК
    • Система сертификации ФСБ
  • Что подлежит сертификации?
  • На соответствие чему происходит сертификация
    • Руководящие документы ФСТЭК
    • Документы ФСБ
  • Схемы сертификации
    • Сертификация единичных экземпляров
    • Сертификация партии
    • Сертификация серии
    • Процесс сертификации
  • Кто должен сертифицировать СЗИ?
  • Стоимость сертификации
  • Ответственность за использование несертифицированных средств защиты
  • Сложности сертификации в России
    • Сертификация средств защиты иностранного производства
  • Выводы
Вторую часть, кстати, я начал даже раньше первой. Но потом понял, что лучше начать с самого начала и рассказать про оценку соответствия вообще, а потом уже про одну из ее форм - сертификацию (якобы обязательную) .

Есть и третья часть ;-) Но она ограниченного доступа - с анализом того, что уже сертифицировано ФСТЭК и ФСБ по различным срезам. Кто сертифицирует? На чем специализируется? Какие усилия предпринимают разные вендоры по части сертификации своей продукции? Ну и т.д.

Если все пойдет так как задумано, то первая часть выйдет в течение пары-тройки недель. Вторая часть - в начале следующего года (в январе приблизительно). Третья часть публиковаться не будет. Есть еще задумки по 4-й части, но пока озвучивать их не буду ;-) Пусть это останется моим маленьким секретом ;-)
или введите имя

CAPTCHA
15 Ноября, 2012
можно главу написать еще
про отношение ФСБ, ФСТЕК и правительства к международной сертификации, вхождении в ВТО, почему сертификация по Common Criteria не является сертификацией в России и т.д.
0 |
  • Поделиться
  • Ссылка