15 Марта, 2018

Часть 2.Положение о сертификации ФСТЭК России. Что несет нам «ветер перемен»?

Валерий Комаров
          
       

      
      Начало:  https://valerykomarov.blogspot.com/2018/03/blog-post_14.html

      Продолжение анализа  Проекта приказа ФСТЭК России «Об утверждении Положения о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации» http://regulation.gov.ru/projects#npa=78950


Часть.2 Что же не устраивает ФСТЭК?

3. Описание проблемы, на решение которой направлен предлагаемый способ регулирования, оценка негативных эффектов, возникающих в связи с наличием рассматриваемой проблемы
3.1.
Описание проблемы, на решение которой направлен предлагаемый способ регулирования, условий и факторов ее существования:
необходимость совершенствования порядка сертификации продукции, используемой в целях защиты информации, составляющей государственную тайну и иной информации, подлежащей защите в соответствии с законодательством Российской Федерации, в связи с тем, что действующее Положение по сертификации средств защиты информации не содержит детального описания порядка сертификации продукции

3.5.
Источники данных:
постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 "О сертификации средств защиты информации"
(место для текстового описания)

Вопрос: ФСТЭК не в курсе существования «Положение о сертификации средств защиты информации по требованиям безопасности информации» (утв. Приказом Гостехкомиссии РФ от 27.10.1995 № 199)?
Которое было выпущено как раз для детализации ПП608, причем в рамках п.2, на который ссылается ФСТЭК сейчас:

.5.
Основание для разработки проекта акта:
подпункт 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, пункт 2 постановления Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации», пунктом 9 Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденным постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330
(место для текстового описания

Более того, п.2 ПП 608 требует от ФСТЭК не только Положение разработать, но и «перечни средств защиты информации, подлежащих сертификации в конкретной системе сертификации», что было реализовано Положением от 1995 года (Приложение 1), но отсутствует в проекте нового Положения в виде отдельного Приложения (есть только очень общие упоминания в п.2 Положения).

Вопрос:Если Приказ ФСТЭК разработан в рамках ПП 608, то почему появился новый термин «продукции, используемойв целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации»?
Постановление Правительства РФ от 26.06.1995 № 608 (ред. от 21.04.2010) «О сертификации средств защиты информации»
1. Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом.
Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.

Видимо разница в том, что одни изначально разработаны и предназначены для защиты информации, а другие разрабатывались для других целей, но пользователь решил их использовать для защиты информации?

Выводы:

С учетом отсутствия в проекте Приказа упоминаний о Приказе № 199 от 27.10.1995, получается, что у нас будет 2отдельных Положения о сертификации?
1.     Для сертификации встроенного функционала защиты информации в прикладном ПО.
2.     Для сертификации средств защиты информации, как отдельных средств защиты информации, не несущих решений прикладных задач.




Продолжение следует….


* Все новости блога на публичном Telegram-канале    t.me/ruporsecurite