19 Марта, 2018

Часть 4. Положение о сертификации ФСТЭК России. Что несет нам «ветер перемен»?

Валерий Комаров

Часть 1:  https://valerykomarov.blogspot.ru/2018/03/blog-post_14.html

Часть 2 :   https://valerykomarov.blogspot.ru/2018/03/2.html

Часть 3 :   https://valerykomarov.blogspot.com/2018/03/3.html

      Окончание анализа  Проекта приказа ФСТЭК России «Об утверждении Положения о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации»  http://regulation.gov.ru/projects#npa=78950



О желаниях, не совпавшими с возможностями:

а. Смотримраздел проекта Положения «Приостановление действия сертификата соответствия»
75.    ФСТЭК России принимает решение о приостановлении действия сертификата соответствия в следующих случаях:
·                   изменение требований безопасности информации к продукции;
·                   установление факта о несоответствии сертифицированной продукции требованиям безопасности информации к продукции в соответствии с информацией, имеющейся или поступившей в ФСТЭК России, в том числе информации о наличии в сертифицированной продукции уязвимостей или недекларированных возможностей;
·                   прекращение технической поддержки сертифицированной продукции, отсутствие которой может привести к несоответствию продукции требованиям безопасности информации к продукции, а также к невыполнению требований о защите информации при применении продукции;
·                   обращение заявителя о приостановлении действия сертификата соответствия.

Смотрим раздел проекта Положения «Приостановление действия сертификата соответствия»:
82.    ФСТЭК России принимает решение о прекращении действия сертификата соответствия в следующих случаях:
·                    заявитель не представил в установленный срок материалы, подтверждающие устранение несоответствия продукции требованиям безопасности информации;
·                    заявитель не возобновил в установленный срок техническую поддержку продукции;
·                    обращение заявителя о прекращении действия сертификата соответствия.

Смотрим ПП 608:

10. Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют право приостанавливать или аннулировать действие сертификата в следующих случаях:
·                   изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;
·                   изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
·                   отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.

Вопрос: на каком основании ФСТЭК расширила перечень причин для аннулирования сертификата?

б. Смотримраздел проекта Положения «Прекращение действия сертификата соответствия»
86.    ФСТЭК России принимает решение о прекращении применения сертифицированной продукциив случае, если применение продукции потребителями может привести к невыполнению требований о защите информации, установленных ФСТЭК России, в том числе применение сертифицированной продукции создает угрозы безопасности информации.
87.    Решение о прекращении применения сертифицированной продукции оформляется приказом ФСТЭК России.
ФСТЭК России исключает сведения о продукции из государственного реестра сертифицированных средств защиты информации и информирует потребителей сертифицированной продукции о принятом решении.
Потребитель принимает меры по прекращению применения продукции и по ее замене на другую сертифицированную продукцию.

Вопрос:  ФСТЭК =Правительство РФ?

1.                Так как ПП 608 не распространяется на «область применения СЗИ», то и Положение о сертификации ФСТЭК может регулировать ТОЛЬКО «сферу сертификации». Весь этот раздел включен в проект Положения незаконно!
2.                Положение о федеральной службе по техническому и экспортному контролю (Указ Президента РФ от 16.08.2004 № 1085 (ред. от 25.11.2017) «Вопросы Федеральной службы по техническому и экспортному контролю») -   Права и полномочия ФСТЭК: 9) приостанавливать или отменять действие выданных сертификатов.
3.                Есть Ст. Статья 13.12. КОАП «Нарушение правил защиты информации», в ней предусмотрена ответственность за использование не сертифицированных СЗИ.
Вот и все полномочия ФСТЭК по «применению сертифицированных СЗИ».


Заключение:
1.     Заниженарегулирующая роль проекта документа. Что приводит к отсутствию этапа «пилотного апробирования», а так же - «переходного этапа» внедрения новых процедур в жизнь страны.
2.     Формулировки проекта приказа вводят неоднозначность с статусом действующего Положения о сертификации.
3.     ОтсутствуетПеречень продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции, сведения о которой составляют государственную тайну, формируемым ФСТЭК России. До его утверждения, невозможно оформить заявку на сертификацию.

Итог: Необоснованно расширены и изменены требования Положения ФСТЭК. Не соответствие требованиям и нормам ПП 608.