Предложения к "Положение о сертификации ФСТЭК России. Что несет нам «ветер перемен»?"

Предложения к "Положение о сертификации ФСТЭК России. Что несет нам «ветер перемен»?"

Критика должна быть конструктивна

Понятно, что необходимость актуализации процессов сертификации давно назрела. С 1995 года много изменений в жизни страны произошло. И ФСТЭК заслуживает поддержки в подобных попытках. Но проблема в том, что ФСТЭК скован в своих желаниях формулировками ПП 608. И менять надо Постановление Правительства РФ, а не пытаться замаскировать радикальные изменения процессов сертификации СЗИ косметическими правками в Приказе ФСТЭК. А вот с изменением ПП 608 перспектив то мало: на него «завязаны» процессы сертификации ФСБ, МО. Первоначально еще и СВР были, но они добились Постановления Правительства РФ от 21.04.2010 N 266 (ред. от 03.11.2014) и больше не имеют отношения к ПП 608. И согласия между этими ведомствами нет. Насколько я понимаю, ФСБ полностью устраивает Положение (Приказ ФСБ РФ от 13.11.1999 N 564). А опыт создания нормативной базы для выполнения ФЗ-187 ярко показывает, что ожидать консолидированной позиции ФСТЭК и ФСБ по актуализации сертификации СЗИ нет никаких оснований.


Мои предложения к проекту Приказа ФСТЭК:

1.                Изменить оценку регулирующего влияния Приказа с «низко» на «среднее» (в ред.  Постановления  Правительства РФ от 30.01.2015 № 83).
2.                Провести «пилотное» внедрение, откорректировать процедуры и документы. Все это предусмотреть в Приказе.
3.                Предусмотреть в Приказе переходный период от старой системы сертификации к новой.
4.                Дополнить приказ приложением: Перечнем продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции, сведения о которой составляют государственную тайну.
5.                 Окончательно определить в Приказе судьбу Приказа от 27.10.1995 № 199.
6.                Убрать из Положения разделы, выходящие за пределы сферы сертификации (применение сертифицированной продукции).
7.                Определится с сертификатами по старым требованиям и новым. В текущей редакции проекта Приказа указано, что старые сертификаты необходимо аннулировать, так как они не соответствуют требованиям. (75.    ФСТЭК России принимает решение о приостановлении действия сертификата соответствия в следующих случаях:изменение требований безопасности информации к продукции;)
8.                Определить статус ТУ в системе сертификации.
9.                Прописать процедуры для сертификации СЗИ, иностранного производства.

*Я бы рекомендовал ФСТЭК не спешить с принятием этого Положения о сертификации. Лучше дождаться окончания действия всех сертификатов, выданных по старым требованиям. Разработать полный состав Профилей для СЗИ. Намного меньше вопросов будет при внедрении нового Положения. Да и с импортозамещением страна окончательно определится.


* Все новости блога на публичном Telegram-канале   t.me/ruporsecurite
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности