Дополнение. Положение о сертификации ФСТЭК России. Что несет нам «ветер перемен»?

Дополнение. Положение о сертификации ФСТЭК России. Что несет нам «ветер перемен»?



Дополнительное исследование к проекту Положения о сертификации




Поводом для написания данной заметки послужило информационное сообщение ФСТЭК от 1 февраля 2018 г. N 240/24/55
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
ОБ АННУЛИРОВАНИИ ДЕЙСТВИЯ СЕРТИФИКАТОВ СООТВЕТСТВИЯ ОТ 4 АПРЕЛЯ 2012 Г. N 2609 НА ОПЕРАЦИОННУЮ СИСТЕМУ PAN-OS 4.0 ДЛЯ МЭ СЕРИИ РА-4000, ОТ 4 АПРЕЛЯ 2012 Г. N 2610 НА ОПЕРАЦИОННУЮ СИСТЕМУ PAN-OS 4.0 ДЛЯ МЭ СЕРИИ РА-5000, ОТ 28 АПРЕЛЯ 2012 Г. N 2632 НА ОПЕРАЦИОННУЮ СИСТЕМУ PAN-OS 4.0 ДЛЯ МЭ СЕРИИ РА-500 И ОТ 28 АПРЕЛЯ 2012 Г. N 2633 НА ОПЕРАЦИОННУЮ СИСТЕМУ PAN-OS 4.0 ДЛЯ МЭ СЕРИИ РА-2000

В нем интересны три момента:
"В соответствии с пунктом 10 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608, в связи с изменением нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля,  а также невозможностью принятия незамедлительных мер по восстановлению соответствия указанных средств защиты информации обязательным требованиям, ФСТЭК России принято решение об аннулировании выданных АО «РНТ» сертификатов соответствия ...."
Дополнительно сообщаем, что потребителям необходимо прекратить применение указанных изделий для защиты информации ограниченного доступа и обеспечить их замену на аналогичные средства защиты информации, сертифицированные на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. N 9."
1. Ссылка на ПП 608, а не на собственное Положение о сертификации, утвержденное приказом от 27 октября 1995 г. N 199. 
2. Основанием для аннулирования названо изменение требований безопасности, но почему тогда не аннулированы аттестаты всех МСЭ? Ведь было специально разъяснено ФСТЭК, что "Межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям."

3. Требование прекратить применение вообще не прописано в ПП 608. В нем есть только одна обязанность для такого случая «прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.» И касается он только «изготовителей». В ПП 608 вообще «потребителей» нет.  Причем запрет только на реализацию, даже на производство не распространяется. 





* Все новости блога на публичном Telegram-канале    t.me/ruporsecurite

Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности