Часть 3. Положение о сертификации ФСТЭК России. Что несет нам «ветер перемен»?

Часть 3. Положение о сертификации ФСТЭК России. Что несет нам «ветер перемен»?

Часть 1:  https://valerykomarov.blogspot.ru/2018/03/blog-post_14.html

Часть 2 :   https://valerykomarov.blogspot.ru/2018/03/2.html

      Продолжение анализа  Проекта приказа ФСТЭК России «Об утверждении Положения о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации»  http://regulation.gov.ru/projects#npa=78950


Часть. 3 Мы дошли до самого интересного


И наконец то переходим к анализу собственно Положения
1.     Начнем с названия Положения:
«Об утверждении Положения о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации».
Смотрим п. 1 ПП 608
«Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемыхПравительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции.»
Смотрим п.5 проекта Положения      
ФСТЭК России в соответствии с законодательством Российской Федерации организует проведение сертификации продукции, разрабатывает и устанавливает в пределах своей компетенции обязательные требования в области технического регулирования к продукции (далее – требования безопасности информации к продукции).
Смотрим п.10 проекта Положения
«Сертификация продукции осуществляется на соответствиетребованиям безопасности информации, установленным нормативными правовыми актами ФСТЭК России или изложенным в технических условиях (задании по безопасности), согласованных ФСТЭК России.»
Итог: ТУ (Задание по безопасности) не имеет статуса нормативного правового акта ФСТЭК и не утверждается ФСТЭК, а только согласуется ей.
Вопрос: ФСТЭК будет по каждому согласованному ТУ от заявителя выпускать отдельный приказ? Или будет нарушать Постановление Правительства РФ?


2.     Участники и их роли в Проекте не соответствуют вышестоящим подзаконным актам.

*Где в проекте приказа:
Постановление Госстандарта РФ от 10.05.2000 № 26 (ред. от 05.07.2002) «Об утверждении Правил по проведению сертификации в Российской Федерации» (Зарегистрировано в Минюсте РФ 27.06.2000 N 2284)?

3.     Полная путаница в определениях и логике в п. 14
          «Срок действия сертификата соответствия распространяется на заявителя.
               Вопрос: Что за ерунда? Срок действия у бумажки, а не у заявителя.
См. п.13 «Срок действия сертификата соответствия - 5 лет.». И распространяется он на ПРОДУКЦИЮ.

«По окончании срока действия сертификата соответствия заявитель может организовать проведение процедуры по продлению срока действия сертификата соответствия.»
Вопрос: Мне что бы продлить необходимо дождаться окончания ранее выданного сертификата? Заранее я не имею права организовать процедуру сертификации? А что делать в получившийся разрыв, когда старый истек и новый только оформляется? Зачем запрещать досрочное продление сертификата?
Потребитель, не являющийся заявителем, может эксплуатировать продукцию вне зависимости от срока действия сертификата соответствия
при выполнении следующих условий:
·          не истек срок эксплуатации, установленный заявителем на сертификацию (при его наличии);
·          заявитель осуществляет техническую поддержку сертифицированной продукции;
·          применение продукции не противоречит требованиям по защите информации, установленным ФСТЭК России;
·          ФСТЭК России не принял решение о запрете применения продукции, и сведения о сертификате соответствия на продукцию находятся в государственном реестре сертифицированных средств защиты информации, ведение которого осуществляется ФСТЭК России в соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608.»
Вопрос: Это что за дискриминация такая? Почему заявителю запрещено эксплуатировать СЗИ при выполнении этих условий? Производить и продавать не может без сертификата, как и указано в п.8 «прекращают производство и реализацию сертифицированной продукции при её несоответствии требованиям безопасности информации к продукции или по истечении срока действия сертификата, а также в случае приостановки или прекращения действия сертификата соответствия.». А эксплуатация почему запрещена?

4.     Отдельный вопрос с импортными СЗИ
В п.8 ПП 608 указан отдельный случай для зарубежных производителей:
«Для признания зарубежного сертификата изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган по сертификации оформляет и выдает изготовителю сертификат соответствия установленного образца.
Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.»
В проекте Положения этот пункт никак не конкретизирован, вообще игнорирование.
Вопрос: Почему не описана процедура рассмотрения зарубежного сертификата?

*Здесь вообще должны ударно «впахивать» юристы зарубежных компаний, заинтересованных в рынках сбыта своей продукции. Именно сейчас есть возможность заставить ФСТЭК прописать формулировки, соответствующие ПП 608 и устраивающие все стороны процесса сертификации.

5.      А что же с Перечнем продукции?
Пункт 18 проекта Положения требует «Заявитель определяетв соответствии с Перечнем продукции тип (типы), к которым относится производимая им продукция. А есть интересная сноска к п.18 проекта Положения «Наименование типа (наименования типов) продукции определяется в соответствии с Перечнем продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции, сведения о которой составляют государственную тайну, формируемым ФСТЭК России.»

Вопрос: где этот Перечень? К проекту приказа он не прилагается. Реквизитов нормативных документов, которыми установлен данный Перечень не приведено. В действующем приказе от 27.10.1995 № 199 есть Приложение 1 «Перечень средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссии России (N РОСС RU.0001.01БИ00)». Названия разные, да и получается тогда, что будет действовать одновременно 2 Положения о сертификации.

         Продолжение следует….
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности