12.07.2010

О 330-м постановлении Правительства

Вот забавная история происходит с пресловутым 330-м Постановлением Правительства "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об  особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)" (длинное название, взятое почти дословно из 5-й статьи ФЗ "О техрегулировании"). Его мало кто видел, ибо оно носит статус ДСП, что само по себе является нонсенсом для обязательного для всех операторов персданных нормативного документа.

Во-вторых, у него интересная область применения. Логично было бы предположить, что оно должно распространяться на все виды конфиденциальной информации... Ан нет. Только на государственные информационные ресурсы и персданные. Почему (хотя это и хорошо) за скобки вынесены врачебная тайна, тайна усыновления и т.п.? Ведь они не менее важны и критичны, чем персданные.

В-третьих, оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). Т.е. то, что было написано в 58-м приказе ФСТЭК и по разному толковалось разными экспертами теперь имеет четкое толкование - только обязательная сертификация.

В-четвертых, к принципам подтверждения соответствия относится "ограниченный доступ к информации и документам, касающимся установления обязательных требований, сертификационных испытаний продукции и подтверждения ее соответствия, а также методов и способов защиты информации конфиденциального характера". Иными словами ФСТЭК, ФСБ и МинОбороны теперь имеют полное право выпускать ДСПшные документы. Правда, совсем непонятно, как теперь соотносится 1009-е и 330-е постановления?..

23 коммент.:

Rainman комментирует...

А про аттестацию ИС ничего не написано?

Алексей Т. комментирует...

А где само постановление? Что за нагнетание интриг, Алексей?

Алексей Лукацкий комментирует...

Само постановление ДСП ;-(

Про аттестацию впрямую ничего, но есть пункт "Объектом обязательной сертификации является продукция. Объектом государственного контроля (надзора) являются продукция (работы, услуги) и процессы". Так что аттестации пока не нужно.

Grigoriy комментирует...

Совсем уже запутался. Помогите разобраться.
1. Нужны ли лицензии ФСБ (СКЗИ) и ФСТЭК (ТЗКИ), оператору ПДн?
2. Нужна ли аттестация ИСПДн (любых классов)?
Прошу прощения, что переспрашиваю, но лучше переспросить, чем не понять.

John комментирует...

>> Grigoriy пишет...
Теперь еще нужна лицензия Минобороны :-))

m комментирует...
Этот комментарий был удален автором.
m комментирует...

А как получить ПП-330? Необходимо писать письмо во ФСТЭК?

Алексей Лукацкий комментирует...

Можно попробовать

Алексей Волков комментирует...

Вот это чудеса из чудес. Так, глядишь, скоро и ФЗ начнут ДСПшные клепать. А там и до Конституции не далеко - пара-тройка ДСПшных статей.. А потом еще и посадят - ибо незнание законов не освобождает от ответственности за их неисполнение. Надо председателю правительства писать - путь высылают счет-квитанцию типографии, где заказывать экземпляр:) Времена четверокнижия вернулись :)

doom комментирует...

Практика общения с нашим ФСТЭКом показала:
1. Про ПП 330 изначально они не знают.
2. Сотрудники ФСТЭК сами выясняют вопрос в ЦА, после получения запроса и даже перезванивают, как только выясняют, что это за ПП и с чем его едят.
3. Заказ обычным порядком - как и для СТР-К, и для четверокнижья. Уже отправили письмо - пока ждем (соответственно, цена вопроса тоже пока неизвестна).

Анатолий комментирует...

Всевозможные законы, постановления, указы, имеющие статус выше открытого (ДСП, секр и т.д.), издавались и будут издаваться, но имеют узкую сферу и направленность действия. Для массовой законности, чтобы не нарушать конституционный строй законодательный акт должен быть опубликован в открытой печати и только после этого он сможет вступить в законную силу, если иного не оговорено в самом документе, и опять же, обратной силы они не имеют, то есть в данном случае имею ввиду, что задним числом не может быть введен в действие, либо только сразу после опубликования, либо в определенный срок после опубликования. То есть, если таковое постановление имеется, то на кого-то оно может распространяться, а на кого-то нет. Думаю паниковать нет смысла пока :)

Сергей Б комментирует...

В связи с этим постановлением, при защите ПДн в соответствии со стандартом СТО БР ИББС, встроенные функции ОС и прикладного ПО теперь придется сертифицировать?

Сергей Б комментирует...
Этот комментарий был удален автором.
doom комментирует...

2 Сергей Б.

Ну, если пройдут поправки Резника, то нет - там написано, что правительство занимается только вопросами защиты ПДн в гос. органах.

Но вообще, конечно, явно видны какие-то телодвижения в диаметрально противоположных направлениях (к вопросу об отмеченном Алексеем противостоянии "Путин"-"Медведев" в этих вопросах), поэтому конечный результат остается по-прежнему непредсказуемым (хотя попробую сделать прогноз - опять придется передвигать срок приведения в соответствие, потому что невозможно что-то делать, когда все так внезапно меняется).

P.S. Сергей Борисов - интегратор ИБ. Это не тот ли Сергей, про которого я подумал ;)

Сергей Б комментирует...

Тот самый.
Коля - если у вас уже есть этот документ, кинь пожалуйста на почту.

Мы только заказали. Пока наш ФСТЭК официально пришлет - годы пройдут.

Алексей Лукацкий комментирует...

Встроенные функции ОС и прикладное ПО сертифицировать не придется. Это противоречит и ФЗ-184 и приказу ФСТЭК 199.

doom комментирует...

Алексей, а можно раскрыть поподробнее последнее утверждение? Встроенные возможности ОС и ПО вполне себе живут в Приложении 1 к Положению - пункты 2.3 и 2.4, например.

Алексей Лукацкий комментирует...

О каком положении речь?

doom комментирует...

2 Алексей
О 199-м приказе ФСТЭК (точнее еще Гостехкомиссии) - Положение
о сертификации средств защиты информации по требованиям безопасности информации. Или не о нем была речь?
В общем-то и в 184-м непонятно, где указание на то, что нельзя потребовать сертификации встроенных возможностей ОС и ПО.

Алексей Лукацкий комментирует...

2.3 и 2.4 - это Программы, обеспечивающие разграничение доступа к информации и Программы идентификации и аутентификации терминалов и пользователей. Причем тут встроенная функциональность ОС?

С данным положением вообще непонятные вещи происходят. ФСТЭК в него задним числом вносит все, что угодно. У меня версия 98-го года - так там совершенно иной перечень СЗИ, подлежащих сертификации. А ведь реквизиты Положения так и не менялись с тех пор. Странно это ;-(

Что же касается ФЗ-184, то ст.5 относится только к средствам защиты. А общесистемное и прикладное ПО к таковым не относится. Следовательно на него требования ФСТЭК не распространяются.

doom комментирует...

Ну как это причем?
Одна из функций ОС - это разграничение доступа. А более широкое прочтение такое: если (например по проекту) нечто обеспечивает функционал СрЗИ - управление доступом, регистрация и учет, контроль целостности, криптографическая защита и т.п., то это нечто тоже становится СрЗИ и подлежит сертификации.

Ну и в целом к вопросу о том, что же такое СрЗИ:

2.7.2 Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.

Цитата из ГОСТ Р 50922-2006.
Т.е. мнение регуляторов на этот счет однозначно - СрЗИ все, что занимается защитой информации.

Алексей Лукацкий комментирует...

Ну в системе управления современными самолетами, в частности в A-380, тоже есть механизмы защиты информации. И в автомобилях. И в телефонах. И в поездах. И в атомных электростанциях. Что ж теперь, все их во ФСТЭК отдавать на сертификацию?.. ;-)

doom комментирует...

Я думаю, ФСТЭК не отказался бы :)

К слову, РЖД вовсю сертифицирует какие-то свои программы управления тепловозами (правда на контроль отсутствия НДВ, но все же).