Обязательная сертификация средств защиты ПДн не обязательна (ответ ФСТЭК)

Обязательная сертификация средств защиты ПДн не обязательна (ответ ФСТЭК)
Кто следит за темой персональных данных, тот помнит, что я давно придерживаюсь позиции о том, что средства защиты персональных данных не обязательно должны иметь сертификат ФСТЭК. Я исхожу из банальной логики - в законе "О персональных данных" ни слова не говорится о сертификации, как единственно возможной форме оценке соответствия средств защиты персональных данных. И ПП-1119 про это не говорит. А закон "О техническом регулировании", который и регулирует вопросы оценки соответствия, также ни слова не говорит о том, что средства защиты ПДн должны быть сертифицированы. Он говорит немного о другом - устанавливает семь форм оценки соответствия и указывает, что особенности этой самой оценки для средств защиты информации устанавливают Президент или Правительство, но никак не регуляторы. Опираясь на эту логику я утверждал и утверждаю, что средства защиты персональных данных, исключая государственные и муниципальные ИС, могут пройти любую из существующих форм оценки соответствия, а не только обязательную сертификацию по линии ФСТЭК или ФСБ.

Однако такую позицию не разделяют отечественные производители средств защиты информации и многие интеграторы, считающие, что оценка соответствия и обязательная сертификация - это суть одно и тоже. Понять их можно. Местами они просто не разбираются в законодательстве, считая слова регулятора истиной в последней инстанции (даже если эти слова противоречат законодательству). Местами они просто не хотят спорить с регулятором или писать обоснования для своих заказчиков. Что может быть проще, чем сказать, что оценка соответствия может быть только в форме сертификации? По счастливой случайности эти же интеграторы и производители и продают сертифицированные средства защиты информации.

Аналогичную позицию еще несколько лет назад высказывал и регулятор в лице ФСТЭК или ФСБ. На заре появления законодательства по ПДн, ФСТЭК и ФСБ даже прописали это требования в своих не очень легитимных документах 2008-го года. Время шло, заказчики продолжали задавать вопросы регуляторам, слать юридически выверенные запросы... Сами регуляторы тоже становились более подкованными в юридических вопросах. Отношение к теме обязательной сертификации стало меняться. И вот на днях мне прислали ответ ФСТЭК на вопрос одного из стартапов по ИБ ( этот и этот  и этот ответы ему же). В этом ответе регулятор наконец-то подтвердил то, что он часто озвучивал на мероприятиях по ИБ и что вытекало из действующего законодательства.


Эта же мысль прописана и в 21-м приказе ФСТЭК, но не так явно, что и вызывало большое количество вопросов. Теперь ФСТЭК достаточно четко и явно ответила, что форма оценки соответствия средств защиты ПДн может быть любой, если это не ГИС/МИС, для которых оценка соответствия может быть только в форме обязательной сертификации. Для всех остальных форму оценку соответствия можно выбрать самостоятельно и она может быть и сертификацией. В этом случае надо руководствоваться 12-м пунктом 21-го приказа, который описывает классы защиты и защищенности СрЗИ персональных данных. Все предельно лаконично и логично. На мой взгляд, этот ответ ставит точку в долгих спорах о необходимости сертификации средств защиты ПДн для коммерческих операторов ПДн, которые могут самостоятельно определять форму оценки соответствия, упомянутую в ФЗ-152.

ЗЫ. Я не против сертификации как таковой, но у меня всегда были претензии к тому, как это производилось в России. Сейчас ситуация меняется, но пока не быстро.

ЗЫ. На вопрос о том, могу ли я поделиться всем ответом регулятора отвечаю - нет, не могу. Во-первых, этот ответ предназначен не мне и не мне им делиться. А во-вторых, это ответ конкретному лицу на конкретный вопрос. Использовать этот ответ как универсальный и юридический документ все равно не получится.
Alt text

Мир на грани катастрофы и только те, кто подпишется на наш телеграм канал, смогут выжить в Киберапокалипсисе!