Недавно ФСТЭК опубликовала выписку из плана своей нормотворческой деятельности на 2016 год и, и в году прошлом, у представителей отрасли посыпались вопросы: “А почему в плане нет, того о чем говорил Лютиков в феврале?”, “А где документ такой-то?”, “А почему план такой куцый?” На мой взгляд ответ очевидный - лучше пусть поощрят за перевыпуск документов, чем накажут за невыполнение плана. Поэтому многих документов в плане просто нет, а сами документы при этом находятся в достаточно высокой степени готовности. Возьмем, к примеру, руководящие требования по сертификации. В плане ФСТЭК упомянуто только три таких документа, имеющих в условиях импортозапрещения первоочередное значение - требования к операционным системам, базам данных и обновленный документ по межсетевым экранам. Но в нем, например, нет требований к антивирусам для промышленных систем и требований для промышленных МСЭ. А они уже готовы.
Планируемые руководящие документы ФСТЭК (по публичным данным)
Вторая причина “куцести” плана в том, что он касается только нормативно-правовых актов. Те же методические указания не относятся к этой категории и поэтому в плане не числятся.
Планируемые методички ФСТЭК (по публичным данным)
Ну и наконец третья причина заключается в том, что часть документов уже разработана и отправлена в Минюст на согласование, например, по защите от утечек по техническим каналам. Поэтому их нет смысла указывать в плане на год грядущий (в плане на год уходящий их также не было).
Планы ФСТЭК по защите от утечек по техническим каналам (по публичным данным)
