Часть 1: https://valerykomarov.blogspot.ru/2018/03/blog-post_14.html
Часть 2 : https://valerykomarov.blogspot.ru/2018/03/2.html
Часть 3 : https://valerykomarov.blogspot.com/2018/03/3.html
Окончание анализа Проекта приказа ФСТЭК России «Об утверждении Положения о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации» http://regulation.gov.ru/projects#npa=78950
О желаниях, не совпавшими с возможностями:
а. Смотримраздел проекта Положения «Приостановление действия сертификата соответствия»
75. ФСТЭК России принимает решение о приостановлении действия сертификата соответствия в следующих случаях:
· изменение требований безопасности информации к продукции;
· установление факта о несоответствии сертифицированной продукции требованиям безопасности информации к продукции в соответствии с информацией, имеющейся или поступившей в ФСТЭК России, в том числе информации о наличии в сертифицированной продукции уязвимостей или недекларированных возможностей;
· прекращение технической поддержки сертифицированной продукции, отсутствие которой может привести к несоответствию продукции требованиям безопасности информации к продукции, а также к невыполнению требований о защите информации при применении продукции;
· обращение заявителя о приостановлении действия сертификата соответствия.
Смотрим раздел проекта Положения «Приостановление действия сертификата соответствия»:
82. ФСТЭК России принимает решение о прекращении действия сертификата соответствия в следующих случаях:
· заявитель не представил в установленный срок материалы, подтверждающие устранение несоответствия продукции требованиям безопасности информации;
· заявитель не возобновил в установленный срок техническую поддержку продукции;
· обращение заявителя о прекращении действия сертификата соответствия.
Смотрим ПП 608:
10. Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют право приостанавливать или аннулировать действие сертификата в следующих случаях:
· изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;
· изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
· отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.
Вопрос: на каком основании ФСТЭК расширила перечень причин для аннулирования сертификата?
б. Смотримраздел проекта Положения «Прекращение действия сертификата соответствия»
86. ФСТЭК России принимает решение о прекращении применения сертифицированной продукциив случае, если применение продукции потребителями может привести к невыполнению требований о защите информации, установленных ФСТЭК России, в том числе применение сертифицированной продукции создает угрозы безопасности информации.
87. Решение о прекращении применения сертифицированной продукции оформляется приказом ФСТЭК России.
ФСТЭК России исключает сведения о продукции из государственного реестра сертифицированных средств защиты информации и информирует потребителей сертифицированной продукции о принятом решении.
Потребитель принимает меры по прекращению применения продукции и по ее замене на другую сертифицированную продукцию.
Вопрос: ФСТЭК =Правительство РФ?
1. Так как ПП 608 не распространяется на «область применения СЗИ», то и Положение о сертификации ФСТЭК может регулировать ТОЛЬКО «сферу сертификации». Весь этот раздел включен в проект Положения незаконно!
2. Положение о федеральной службе по техническому и экспортному контролю (Указ Президента РФ от 16.08.2004 № 1085 (ред. от 25.11.2017) «Вопросы Федеральной службы по техническому и экспортному контролю») - Права и полномочия ФСТЭК: 9) приостанавливать или отменять действие выданных сертификатов.
3. Есть Ст. Статья 13.12. КОАП «Нарушение правил защиты информации», в ней предусмотрена ответственность за использование не сертифицированных СЗИ.
Вот и все полномочия ФСТЭК по «применению сертифицированных СЗИ».
Заключение:
1. Заниженарегулирующая роль проекта документа. Что приводит к отсутствию этапа «пилотного апробирования», а так же - «переходного этапа» внедрения новых процедур в жизнь страны.
2. Формулировки проекта приказа вводят неоднозначность с статусом действующего Положения о сертификации.
3. ОтсутствуетПеречень продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции, сведения о которой составляют государственную тайну, формируемым ФСТЭК России. До его утверждения, невозможно оформить заявку на сертификацию.