08.04.2010

Что происходит в области ФЗ-152 (обзор)

Попросили в журнале CIO вести у них на сайте блог. Ну, а почему нет? Тем более, что особой частоты написания заметок пока не требуется. Первая заметка - обзор того, что происходит в области ФЗ-152 за последнее время. Учитывая, что основная аудитория сайта CIO - руководители ИТ-служб, то им некогда читать весь мой блог и рыскать в Интернете в поисках всей необходимой информации. Я в этом обзоре постарался свести воедино все, что сейчас делается.

ЗЫ. Вторая часть заметки.

16 коммент.:

ded_Sergei комментирует...

Я бы еще отметил, что стали появляться отраслевые требования по защите персональных данных. Хотя это возможно как раз для части №2

toparenko комментирует...

По второй части ( http://www.cio-world.ru/blog/index.php?page=post&blog=aluk&post_id=88 ):

>бороться с побочными электромагнитными излучениями и наводками. Обычно это реализуется такими устройствами, как генераторы шума, применение которых не только незаконно по действующему законодательству

Скорее не незаконно, а "геморно". И более важен фактор наводок на мед. приборы.
В Краснодарском РКН уже зарегили ГШ как СЗИ - http://23.rsoc.ru/news/news10888.htm

doom комментирует...

>а декларирование соответствия в области информационной безопасности еще ждет своих первопроходцев.

Что-то с учетом последних изменений в ФЗ "О техническом регулировании" и соответствующих ПП тема с декларированием соответствия стала какой-то совершенно непонятной...
В частности - на что декларировать соответствие? Кому слать декларацию?

Было бы интересно услышать информацию от тех, кто ближе к этой теме...

Алексей Лукацкий комментирует...

toparenko: Ну на банкире эту тему обсуждали активно. Использование ГШ не в компетенции ФСТЭК, а ГКРЧ. Т.е. законно при условии получения всех необходимых разрешений, а это действительно геморрно.

doom: На соответствие приказу 58. Слать во ФСТЭК. Сейчас по линии ФСБ такое сплошь и рядом. Там правда это называется нотификация и касается ввоза СКЗИ, но суть таже. Ты не проходишь обязательную процедуру, а самостоятельно на основании имеющихся нормативов декларируешь соответствие им.

doom комментирует...

Да вот в том-то и дело, что не все так просто. Тех. регламента нет, значит ПП должно определять, что сертифицировать, а что можно декларировать. ПП у нас ушло от СрЗИ (как раз в конце прошлого года), сам закон оставил этот вопрос на откуп ФСБ и ФСТЭКу (статья 5).
Ни тот, ни другой ничего про декларирование не сказали - а меж тем это одна из форм обязательного подтверждения соответствия.

Ну а дальше еще веселее - форма декларации требует явного указания на соответствие какому тех. регламенту заявляется производитель - а тех. регламента нет - значит есть возможность развернуть декларацию, сказав, что она не соответствует принятой форме (и где же там наши антикоррупционщики?). Слать декларацию надо в орган по сертификации (т.е. в случае ФСТЭКа слать вообще куда-нибудь в ГНИИ ПТЗИ) - они могут сослаться на то, что реакция на декларации у них нигде не прописана.. Ну и т.п.

В общем, если кто-то сможет зарегистрировать декларацию на соответствие 58-му приказу, то было бы очень интересно послушать как он это сделал и сколько времени это заняло.

Денис Муравьев комментирует...

если не сложно - попроси CIO чтобы кнопку сделали "версия для печати" плз.

vorpoul комментирует...

Уважаемые, а кто мне объяснит какая связь осталась между СЗПДн и 184-ФЗ "О техническом регулировании" после Приказа 58 и изменений в 152-ФЗ?
Внимательно перечитал статьи 184-ФЗ.
К операторам ПДн это применимо только в части соблюдения обязательных правил наладки и эксплуатации продукции (СЗИ, сертифицированных оченвидно) или разработки и производства продуктов/услуг (лицензируемых - технической защиты информации) или явной оценки соответствия требованиям.
Явные требования по аттестации/декларации соответствия защиты ИСПДн изъяли, лицензирование защиты самих себя вроде отменили, использование сертифицированных СЗИ в полном тумане. Таким образом, СЗПДн не подпадает ни под одну из существующих обязательных систем сертификации, а собственной еще не сложилось.
А как правильно заметил doom, декларация есть форма подтверждения соответствия обязательному техрегламенту для получения сертификата соответствия и/или знака обращения на рынке.
(Приказ 58 можно назвать опубликованным техрегламентом?)
Я лично рекомендую при вводе в эксплуатацию, в рамках приемо-сдаточных испытаний проверять СЗПДн на соответствие разработанным оператором требованиям, оформлять соответствующими Актами и класть "под сукно, до востребования" - ибо 781-ПП требует и имеют право проверить.

doom комментирует...

2 vorpoul:
ФЗ "О тех. регулировании" имеет отношение к СЗПДн своей статьей 5 в новой редакции:


1. В отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу; продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; продукции (работ, услуг), сведения о которой составляют государственную тайну; продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии; процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения соответственно указанной продукции и указанных объектов обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, государственного управления использованием атомной энергии, государственного регулирования безопасности при использовании атомной энергии, и (или) государственными контрактами (договорами).

Т.е. ФСТЭК и ФСБ сами определяют, чему должны удовлетворять СрЗИ для защиты ПДн.

Приказ 58 тех. регламентом являться не может по определению - тех. регламент имеет статус федерального закона или (как временная мера) постановления правительства. Так что ПП 781 больше шансов имело бы стать тех. регламентом.

А по поводу аттестации - есть еще ГОСТ 51583-2000, который все лицензиаты, вроде как, пообещали выполнять - там сказано четко:

5.3. Применение АСЗИ для обработки защищаемой информации разрешается только после ее аттестации на соответствие требованиям безопасности информации.

Алексей Лукацкий комментирует...

Ну такая вакханалия закончится 1 июля, когда вступит в силу статья 46.7 закона о техрегулировании.

Валентин Хотько комментирует...

2 doom
Ссылка на ГОСТ 51583-2000 некорректна.
Смотрим раздел 1 данного ГОСТ:
"Настоящий стандарт распространяется на автоматизированные системы в защищенном исполнении, используемые в различных видах деятельности (исследование, управление, проектирование и т. п.), включая их сочетания, в процессе создания и применения которых осуществляется обработка защищаемой информации, содержащей сведения, отнесенные к государственной или служебной тайне."
Дальше смотрим Указ 188 "Об утверждении перечня сведений конфиденциального характера"
и видим, что "служебная тайна" никоим образом не относится к ПДн, о которых здесь идет речь.

doom комментирует...

2 Алексей Лукацкий:
не закончится :)
Они и дату "Ч" в последней редакции убрали. Причем не перенесли, а именно убрали.

2 Валентин Хотько:

Хм... Слона-то я и не приметил.
Хотя по тексту, там еще упоминаются АСЗИ, обрабатывающие несекретную информацию, используемую в управлении экологически опасными объектами.

Но просто информации ограниченного доступа действительно нет...

Алексей Лукацкий комментирует...

О! Отменив один пункт, ввели другой - 46.1.

doom комментирует...

Но при этом еще статья 5, которая говорит, что кроме тех. регламентов надо еще слушаться органов и правительство - что под действие 46-й статьи, по идее, не попадает.

В общем бардак и есть бардак :)

Алексей Лукацкий комментирует...

Я это трактую так. Есть ФЗ, который требует техрегламентов. Но раз пока их нет, то нужно выполнять требования органов исполнительной власти, но при условии, что они касаются жизни и здоровья...

vorpoul комментирует...

2 doom:
А как Вы трактуете части 2 и 4 статьи 5 184-ФЗ?
С сокращениями:
"2. Особенности технического регулирования в части разработки и установления обязательных требований ... федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации ... в отношении продукции (работ, услуг), объектов, указанных в пункте 1 настоящей статьи ... устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями."
"4. Особенности оценки соответствия продукции (работ, услуг) и объектов, указанных в пункте 1 настоящей статьи, а также соответственно процессов их проектирования ... производства ... монтажа, наладки, эксплуатации, хранения ... утилизации ... устанавливаются Правительством Российской Федерации."


Я понял это примерно так: в особых случаях, в интересах безопасности, Правительство может дать отмашку оценивать соответствие на любые требования ФОИВ в любой форме (коего случая вроде по 152-ФЗ не объявляли, а, наоборот, указано - в установленном порядке).

Алексей Лукацкий комментирует...

Именно. Обязательные требования у нас определяет только Правительство.