17 Апреля, 2018

Итог. Положение о сертификации ФСТЭК России. Что несет нам «ветер перемен»?

Валерий Комаров

 
   

     I’ll be back

     Ранее был проведен анализ положений приказа ФСТЭК России "Об утверждении Положения о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации" и процесса общественного обсуждения.
https://valerykomarov.blogspot.com/2018/03/blog-post_21.html
https://valerykomarov.blogspot.com/2018/03/blog-post_27.html
https://valerykomarov.blogspot.com/2018/03/blog-post_28.html

     При этом, было известно, что ФСТЭК направит в Минюст версию Приказа, отличную от версии для публичного обсуждения. Сегодня эта версия опубликована на  http://regulation.gov.ru/projects#npa=78950
     Так как, в нее уже не будут вносится существенные изменения, то  можем готовится к выполнению новых правил сертификации средств защиты информации с 1 августа 2018 года. Времени "на раскачку" не  так уж и много.
Ключевые изменения:
1. Легализованы ТУ и ТЗ, ЗБ 
"4.       Сертификация средств защиты информации осуществляется на соответствие требованиям по безопасности информации, установленным в нормативных правовых актах ФСТЭК России или изложенным в технических условиях, техническом задании, задании по безопасности, согласованных с ФСТЭК России (далее – требования по безопасности информации)."
2. Убрали "Лиц, эксплуатирующих СЗИ" из участников сертификации.
3. Теперь "Cредство защиты информации, в отношении которого принято решение о запрете его применения, подлежит замене на другое сертифицированное средство защиты информации." Убрали жесткое требование о "прекращении применения". Смягчили формулировку.
4. Убрали из текста отсыл к "Перечню продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции, сведения о которой составляют государственную тайну, формируемым ФСТЭК России". Вообще не упоминается в тексте.
5. Убрали дискриминирующую формулировку "Потребитель, не являющийся заявителем, может эксплуатировать продукцию вне зависимости от срока действия сертификата". Теперь просто "Потребитель эксплуатирует средство защиты информации вне зависимости от срока действия сертификата соответствия при условии, что заявитель осуществляет техническую поддержку сертифицированного средства защиты информации, его применение соответствует требованиям по безопасности информации и ФСТЭК России не приняла решение о запрете применения средства защиты информации"

* Все новости блога на публичном Telegram-канале    t.me/ruporsecurite