Положение о сертификации. Победа, ничья или поражение?

Положение о сертификации. Победа, ничья или поражение?


      Посвятил в блоге серию заметок  теме "Изменение системы сертификации ФСТЭК" для привлечения внимания участников оборота средств защиты информации в стране. Удалось существенно повысить активность публичного обсуждения проекта Приказа ФСТЭК на соответствующих правовых ресурсах, было предложено очень много правок и предложений.
     Последнюю версию проекта Приказа ФСТЭК комментировал в заметке:
https://valerykomarov.blogspot.com/2018/04/blog-post_17.html

      Теперь уже можем обсудить итоговый документ и результат нашей борьбы за качественный и продуманный документ, влияющий на жизнь всех безопасников страны.
      Подписан 03.04.2018  и 14.05.2018 официально опубликован приказ ФСТЭК России от 03.04.2018 № 55 «Об утверждении Положения о системе сертификации средств защиты информации» (Зарегистрирован в Минюсте 11.05.2018 № 51063).
http://publication.pravo.gov.ru/Document/View/0001201805140022
      С 01 августа 2018 года приступаем к его выполнению.

       Основные достижения:

       1. Полностью убрали раздел: 

"Принятие решения о запрете применения сертифицированного средства защиты информации

93. ФСТЭК России принимает решение о запрете применения сертифицированного средства защиты информации в случае, если применение средства защиты информации может привести к невыполнению требований по безопасности информации или создает угрозы безопасности информации.
94. Решение о запрете применения сертифицированного средства защиты информации оформляется приказом ФСТЭК России.
ФСТЭК России исключает сведения о средстве защиты информации из государственного реестра сертифицированных средств защиты информации и информирует потребителей сертифицированного средства защиты информации о принятом решении.
95. Cредство защиты информации, в отношении которого принято решение о запрете его применения, подлежит замене на другое сертифицированное средство защиты информации.".

       2. Убрали дискриминацию для изготовителя СЗИ по использованию средства защиты после окончания срока действия выданного аттестата. Изменили формулировки в п.15 Положения.

      3. Конкретизирован и сокращен перечень оснований для отказа в проведении сертификации. В п.25 Положения теперь не просто "наличие у ФСТЭК России сведений об угрозах безопасности, связанных с применением средства защиты информации", а "наличие в БДУ...". 
      Полностью убрали основания для отказа: "наличие в средстве защиты информации уязвимостей или недекларированных возможностей; несоответствие средства защиты информации требованиям по безопасности информации;".
 
        Есть еще множество мелких правок и изменений, сделанных ФСТЭК с момента публикации последней версии проекта Приказа. В очередной раз убедились, что утвержденная версия сильно отличается от опубликованных проектов документов.

       Итог: считаю, что мы многого добились своей активной гражданской позицией. ФСТЭК пришлось существенно ограничить свои полномочия в Приказе. С победой здравого смысла, коллеги.

* Все новости блога на публичном Telegram-канале    t.me/ruporsecurite
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности