Часть 1. Положение о сертификации ФСТЭК России. Что несет нам «ветер перемен»?

Часть 1. Положение о сертификации ФСТЭК России. Что несет нам «ветер перемен»?




   Рассмотрим Проект приказа ФСТЭК России «Об утверждении Положения о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации»http://regulation.gov.ru/projects#npa=78950


Часть 1. Ничто не предвещало бури


      Разбор начнем не с проекта Приказа, а с официального документа, на основании которого ФСТЭК обосновала целесообразность появления этого проекта.

ФОРМА
сводного отчета
о проведении оценки регулирующего воздействия проекта акта
с низкой степенью регулирующего воздействия


02/08/0318/00078950
(присваивается системой автоматически)
Сроки проведения публичного обсуждения проекта акта:
начало:
7 марта 2018 г.
окончание:
22 марта 2018 г.

Что видим интересного?

2. Степень регулирующего воздействия проекта акта

2.1.
Степень регулирующего воздействия проекта акта:
Низкая
(высокая / средняя / низкая)

       Смотрим первоисточник:
   Постановление Правительства РФ от 17.12.2012 № 1318 (ред. от 07.10.2017) «О порядке проведения федеральными органами исполнительной власти оценки регулирующего воздействия проектов нормативных правовых актов и проектов решений Евразийской экономической комиссии, а также о внесении изменений в некоторые акты Правительства Российской Федерации" (вместе с "Правилами проведения федеральными органами исполнительной власти оценки регулирующего воздействия проектов нормативных правовых актов и проектов решений Евразийской экономической комиссии»)

6. Оценка регулирующего воздействия проектов актов проводится с учетом степени регулирующего воздействия положений, содержащихся в подготовленном разработчиком проекте акта:
а) высокая степень регулирующего воздействия - проект акта содержит положения, устанавливающие ранее не предусмотренные законодательством Российской Федерации и иными нормативными правовыми актами обязанности, запреты и ограничения для физических и юридических лиц в сфере предпринимательской и иной экономической деятельности или способствующие их установлению, и (или) положения, приводящие к возникновению ранее не предусмотренных законодательством Российской Федерации и иными нормативными правовыми актами расходов физических и юридических лиц в сфере предпринимательской и иной экономической деятельности;
(в ред. Постановления Правительства РФ от 30.01.2015 № 83)
б) средняя степень регулирующего воздействия - проект акта содержит положения, изменяющие ранее предусмотренные законодательством Российской Федерации и иными нормативными правовыми актами обязанности, запреты и ограничения для физических и юридических лиц в сфере предпринимательской и иной экономической деятельности или способствующие их установлению, и (или) положения, приводящие к увеличению ранее предусмотренных законодательством Российской Федерации и иными нормативными правовыми актами расходов физических и юридических лиц в сфере предпринимательской и иной экономической деятельности;
(в ред. Постановления Правительства РФ от 30.01.2015 № 83)
в) низкая степень регулирующего воздействия - проект акта не содержит положений, предусмотренных подпунктами "а" и "б" настоящего пункта, однако подлежит оценке регулирующего воздействия в соответствии с пунктом 1 настоящих Правил.

     Последствия:
     Приводит данная классификация к отсутствию следующего:
· оценки издержек экономической деятельности
· переходного периода
· пилотного апробирование перед внедрением.
· cрок публичного обсуждения минимальный – 10 рабочих дней, а не 15/20.

И еще интересный пункт:

6. Основные группы субъектов предпринимательской и иной экономической деятельности, иные заинтересованные лица, включая органы государственной власти, интересы которых будут затронуты предлагаемым правовым регулированием, оценка количества таких субъектов

6.1.
Группа участников отношений:
6.2.
Оценка количества участников отношений:
(Описание группы субъектов предпринимательской и иной экономической деятельности)
организации, аккредитованные ФСТЭК России в качестве органа по сертификации или испытательной лаборатории, разработчики, производители и потребители продукции, используемой в целях защиты информации ограниченного доступа
около 500 организаций

6.3.
Источники данных:
Реестр аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий, Государственный реестр сертифицированных средств защиты информации № РОСС RU.0001.01БИ00
(место для текстового описания)

Смотрим первоисточник:

      «Реестр аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий, Государственный реестр сертифицированных средств защиты информации № РОСС RU.0001.01БИ00»
      А в нем числится 8 Органов по сертификации + 31 Лаборатория испытательная, то есть всего  - 39 организаций.
     Явно не 500, смотрим кого еще ФСТЭК отнесла к участникам отношений , а это «разработчики, производители продукции, используемой  в целях защиты ИОД», берем численность из реестра ФСТЭК  «Реестр лицензий на деятельность по разработке и производству средств защиты конфиденциальной информации» https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/72-reestry/217-reestr02 , а это - 1045 организаций. Опять не 500.
      Если учесть, что участниками отношений заявлены еще и «потребители продукции», то здесь счет идет уже на десятки тысяч организаций в стране.

     Продолжение следует….

Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности