18 мая на сайте ФСТЭК было опубликовано информационное сообщение, разъясняющее позицию ФСТЭК в области оценки соответствия средств защиты информации. Предсказуемая и четко выстроенная логика:
- для гостайны - ФЗ о гостайне ->ПП-608 ->обязательная сертификация
- для других видов информации ограниченного доступа - ФЗ о техрегулировании ->ПП-330 ->обязательная сертификация.
Оценка соответствия средств защиты вытекает из ПП-1085 (Об утверждении положения о ФСТЭК). Для оценки разработано много РД и планируется разработать еще немало новых РД - по средствам доверенной загрузки, по DLP и т.д.
У меня комментариев только два (если не вспоминать про гриф ДСП на ПП-330) - в 330-м постановлении говорится не обо всех видах защищаемой информации, а только о ПДн и государевых информационных ресурсах (даже КСИИ там нет). И второе. В качестве форм оценки соответствия в 330-м говорится не только об обязательой сертификации, но и госконтроле (надзоре). Иными словами, вы можете либо сертифицировать свои СЗИ, либо ждать когда вам укажут на отсутствие сертифицированных решений в процессе проверки ФСТЭК. А учитывая, что полномочий проверять коммерческие структуры у ФСТЭК нет, то выводы делайте сами.
ЗЫ. ФСТЭК имеет право проводить проверки своих лицензиатов и требовать от них выполнения своих требований.
