17.08.2010

Где взять текст 330-ПП?

О 330-м Постановлении Правительства я уже писал. Около месяца назад задался целью получения официального текста этого постановления. Организовал запрос в ФСТЭК. И вот на днях был получен ответ. Ответ, если убрать преамбулу, следующий: "Сообщаем, что Правительством РФ для указанного постановления установлена ограничительная пометка "Для служебного пользования". Учитывая изложенное, указанное постановление может быть предоставлено только организациям, имеющим соответствующую лицензию Службы".

Вот я и думаю, что теперь я со спокойной совестью, опираясь на ответ ФСТЭК, а также ФЗ-152, ПП-1009 и ФЗ-294, могу не использовать сертифицированные решения по защите персданных. Ибо такого требования я в публичном доступе не видел, а регулятор отказал мне в доступе к документу, который "по слухам" это требование содержит.

29 коммент.:

gors комментирует...

Алексей, прокомментируйте пожалуйста вот эти пункты поставновления №781. Такое впечатление, что сертификацию никто не отменял, просто навели тень на плетень приказом №58 и этим 330-м ПП.
Из ПП №781:
"18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.

20. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. "

gors комментирует...

Вообще, по-моему, согласование со ФСТЭК - это и есть сертификация СВТ или аттестация АС. Другой процедуры не придумано?

Алексей Лукацкий комментирует...

А что комментировать-то? СЗИ должны быть сертифицированными. Вот и весь комментарий.

Ikzydogz комментирует...

Если этот документ имеет статус ДСП, то какие лицензии необходимо иметь, чтобы его получить? ФСТЭК ответил отказом организации с лицензией на гостайну....

Алексей Лукацкий комментирует...

Я думаю ТЗКИшная нужна, т.к. ни ПП, ни ФЗ к ГТ не относятся. Либо они просто не хотят документ давать и находят различные отмазки.

Ikzydogz комментирует...

Ну не все же могут получить лицензию на ТЗКИ. Интересная позиция ФСТЭК получается: мы будем вас драть по требованиям 330 ПП, выписывать штрафы, а сам документ мы вам показать не можем - фигушки! И как это называется?

Алексей Лукацкий комментирует...

Это Россия!

Andy_AiF комментирует...

Это оно?
http://www.info-law.ru/fed/2010/2/id_6777.html

Алексей Лукацкий комментирует...

Нет. Это 266-е. Но по тексту оно очень похоже на 330-е.

Алексей Волков комментирует...

266-е ПП касается гостайны, и находится в открытом доступе. 330-е - ПДн и ДСП, и носит гриф ДСП. Парадокс, не правда ли? :) Наши юристы тоже поначалу мне сказали, что я дескать перепутал номера - и вообще ПП "ДСП" это бред - уж не захворал ли я часом? Названия 330-го и 266-го поразительно похожи... Оранизация с ТЗКИ запросила, ждем-с :)

kreol комментирует...

тут люди подсказывают, что обычно так поступают с документами, которые еще не готовы. Т.е. на отчетную дату отчитались, что ПП выпущено, а сейчас дописывают...как допишут гриф снимут ;)

doom комментирует...

2 gors
Комментарий №1 - если пройдут поправки Резника, то частные компании уйдут из под действия 781 ПП.

Комментарий №2.
Пункт 18 говорит о том, что ФСТЭК и ФСБ проводят только экспертизу оценки соответствия. Т.е., к примеру, им можно направить декларацию соответствия (правда там тоже не все ясно).

Пункт 19 - можно трактовать, например так, есть проект СЗПДн, который содержит эксплуатационную документацию, проект можно согласовать со ФСТЭК либо дождаться проверки и они его сами запросят и изучат - результат тоже можно будет считать согласованием.

Пункт 20 - а вот это реально самое сложное. Упомянутые здесь индексы и т.п. это, по сути, завуалированные требования по наличию СЗЗ, которые шлепают на все сертифицированные СрЗИ - здесь только надежда на то, что кто-то не справится с объемами учетной информации и скажет "Довольно". Но надежда слабая.

Алексей Волков комментирует...

Алексей, неужели у Cisco до сих пор нет лицензии? А как же железки сертифицировать при производстве, а как же Сколково - не пустят ведь без оной? :)

Алексей Лукацкий комментирует...

А сертифицируем же не мы ;-) У MS тоже лицензии нет. А они и в ФСБ свой софт сертифицировали ;-)

Алексей Лукацкий комментирует...

Закрытой ПП - это нормально. Есть и вообще секретные. Например, по критически важным объектам. Так что это в порядке вещей. Но именно в отношении 330 - это было нелогично

Kirion комментирует...

Действительно в 330 сказано, что оценка соответсвия проводится в форме обязательной сертификации.

Алексей Волков комментирует...

Вообще, когда я услышал про 330-е (это было еще в апреле), представитель ФСТЭК по СЗФО сказал, что в нем будет прописана обязательность оценки соответствия по техническим условиям (он еще добавил фразу "оно уже вот-вот на выходе"). Что в результате вышло... :) Центральный аппарат ФСТЭК работает в лучших традициях спецслужб - исполнители на местах делают свой кусок работы и не знают для чего он предназначен, а полной картиной обладает только мега-босс :)

pushkinist комментирует...

"Закрытой ПП - это нормально. Есть и вообще секретные."

только вроде закрытые обычно нумеровались с дефисом, а тут без.

Алексей Лукацкий комментирует...

А некоторые еще и с приставкой "с" ;-)

Алексей Волков комментирует...

Алексей, как Вам такой ответ ФСТЭК? Запрос делала организация, имеющая ТЗКИ:

http://anvolkov.blogspot.com/2010/08/330.html

Алексей Лукацкий комментирует...

Замечательный ответ. Теперь можно вообще забить на него ;-) Раз уж и регулятор его не предоставляет, то откуда ж мне знать о его содержании ;-)

Алексей Волков комментирует...

Теперь и я, со спокойной совестью, могу не использовать сертифицированные СЗИ для защиты ПДн :)

pushkinist комментирует...

наш фстэк ответил что предоставляют по запросу.
так что забить видимо нельзя.

запрос отправили.

Алексей Лукацкий комментирует...

Ну для начала вы должны знать о наличии такого ПП. А вы не знаете. Есть только слухи. Ни в одной системе нет даже реквизитов этого ПП.

pushkinist комментирует...

мы применили mad skillz в виде лицензии тзки и получили док

Алексей Лукацкий комментирует...

А зачем? Загнали себя в угол

pushkinist комментирует...

для имения в виду такого поворота событий.
вроде никуда не загнали.

Степан комментирует...

330-ПП не относится к систем ПДН и на конфиденциальную информацию, не являющуюся государственным информационным ресурсом.

Алексей Лукацкий комментирует...

Исчо один ;-) Читай внимательно, убери двойное отрицание и получишь результат обратный