Начало: https://valerykomarov.blogspot.com/2018/03/blog-post_14.html
Продолжение анализа Проекта приказа ФСТЭК России «Об утверждении Положения о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации» http://regulation.gov.ru/projects#npa=78950
Часть.2 Что же не устраивает ФСТЭК?
3. Описание проблемы, на решение которой направлен предлагаемый способ регулирования, оценка негативных эффектов, возникающих в связи с наличием рассматриваемой проблемы
3.1. | Описание проблемы, на решение которой направлен предлагаемый способ регулирования, условий и факторов ее существования: необходимость совершенствования порядка сертификации продукции, используемой в целях защиты информации, составляющей государственную тайну и иной информации, подлежащей защите в соответствии с законодательством Российской Федерации, в связи с тем, что действующее Положение по сертификации средств защиты информации не содержит детального описания порядка сертификации продукции |
3.5. | Источники данных: постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 "О сертификации средств защиты информации" (место для текстового описания) |
Вопрос: ФСТЭК не в курсе существования «Положение о сертификации средств защиты информации по требованиям безопасности информации» (утв. Приказом Гостехкомиссии РФ от 27.10.1995 № 199)?
Которое было выпущено как раз для детализации ПП608, причем в рамках п.2, на который ссылается ФСТЭК сейчас:
.5. | Основание для разработки проекта акта: подпункт 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, пункт 2 постановления Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации», пунктом 9 Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденным постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330 (место для текстового описания |
Более того, п.2 ПП 608 требует от ФСТЭК не только Положение разработать, но и «перечни средств защиты информации, подлежащих сертификации в конкретной системе сертификации», что было реализовано Положением от 1995 года (Приложение 1), но отсутствует в проекте нового Положения в виде отдельного Приложения (есть только очень общие упоминания в п.2 Положения).
Вопрос:Если Приказ ФСТЭК разработан в рамках ПП 608, то почему появился новый термин «продукции, используемойв целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации»?
Постановление Правительства РФ от 26.06.1995 № 608 (ред. от 21.04.2010) «О сертификации средств защиты информации»
1. Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом.
Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.
Видимо разница в том, что одни изначально разработаны и предназначены для защиты информации, а другие разрабатывались для других целей, но пользователь решил их использовать для защиты информации?
Выводы:
С учетом отсутствия в проекте Приказа упоминаний о Приказе № 199 от 27.10.1995, получается, что у нас будет 2отдельных Положения о сертификации?
1. Для сертификации встроенного функционала защиты информации в прикладном ПО.
2. Для сертификации средств защиты информации, как отдельных средств защиты информации, не несущих решений прикладных задач.