08.04.2011

И вновь об оценке соответствия

И вновь вернусь к теме оценки соответствия. Уж очень часто эту оценку приравнивают к сертификации. На самом деле это не так. Фраза "оценка соответствия в установленном порядке" замечательно иллюстрируется данной картинкой, которую я сделал на основе анализа закона о техническом регулировании, т.к. именно он определяет, что такое оценка соответствия.


40 коммент.:

Алексей Волков комментирует...

"Иная форма" открывает неограниченный простор для вариантов :)

Алексей Лукацкий комментирует...

Не все так просто. По закону особенности оценки соответствия устанавливает Правительство

Алексей Волков комментирует...

Если буквоедить - то "особенности" и "формы" - разные вещи :)

Алексей Т. комментирует...

Все правильно, потому и приравнивают, что все остальные формы у нас в зачаточном состоянии. ;-) Аттестация ИСПДн между прочим относится к сертификации - некая форма сертификации получается у ФСТЭК.

Сергей Б комментирует...

Только вот аттестацию лучше не приплетать. Её легитимность под вопросом.

sany комментирует...
Этот комментарий был удален автором.
sany комментирует...

Значит можно выбрать в качестве оценки соответствия выбрать - "Приемка и ввод в эксплуатацию". Написать акты ввода и не надо сертифицированить, пока не будет обязательных требований законом или ПП опубликованным и зарегистрированным в минюсте?

Алексей Волков комментирует...

Смотря для чего. Для ПДн, например, есть такая штука как "оценка результатов оценки соответствия в форме экспертизы" и "регистрационные номера в реестре СЗИ". И то и другое происходит только при обязательной сертификации. Однако если потребуют - можно сказать в ответ, что вы нигде не видели установленных правил проведения экспертизы и она у вас не проводилась, так как не проводилась проверка ФСТЭК, точно так же, как и не видели правил присвоения этих самых регистрационных номеров. Ну а если сошлются на обязательную сертификацию - можно сказать, что СЗИ не включены в перечень товаров, подлежащих обязательной сертификации.

Алексей Лукацкий комментирует...

Я сторонник иного подхода. Одной из форм оценки является контроль и надзор. Вот я и жду, когда придет ко мне ФСТЭК с плановой проверкой (согласованной с прокуратурой) и оценит соответствие ;-)

Алексей Волков комментирует...

Так это те же ... только вид сбоку :)

Евгений комментирует...

Картинка ФЗ соответствует... Перечислили какие бывают.
Но...
Кто теперь распишет в каких случаях какой подход применять и что интересно сам порядок...
А есть перечень - классификация, где написано что для продукции 1,2,3 по классификатору оценка такая то в соответствии с таким то порядком... а для 4,5,6 пи условии *** - оценка вот такая и в соответствии с другим порядком...

Такого ответа нет... или есть но не вполне четкий, юридически верный, оспариваемый и т.п.

Алексей Т. комментирует...

Алексею: Алексей, я тоже считал раньше всё это формами оценки соответствия, но все Ваши доводы не учитывают, что это формы оценки применимые только к техническим регламентам (глава 2 ФЗ о ТР, предыдущий абзац об этом явно говорит). К сожалению, по информационной безопасности были разработаны по моей информации 2 регламента, которые так и не были приняты, так что эти формы оценки соответствия к нам не относятся. А вот в главе 4 явно указаны формы подтверждения соответствия, в которых есть сертификация и декларирование. Так что инспекторы провести оценку гипотетически могут, а вот подтвердить соответствие нет ;-)
Сергею Б. Легитимность ДОБРОВОЛЬНОЙ аттестации без вопросов – есть установленная форма оценки, документы, порядок и т.д. Найдите любую другую форму оценки соответствия в области ИБ, которая была бы так регламентирована. По поводу юридической значимости (старые документы, нет регистрации в Минюсте) – какая разница, если ФСТЭК ее признает, аккредитует органы по аттестации, устанавливает требования и осуществляет контроль?
Жаль, что декларирование подразумевает обязательную экспертизу органа по сертификации, красивое слово «декларирование», а вот сложностей с ним больше, чем с сертификацией.

prisonpod комментирует...

Алексей Т. по фз о ТР ст. 24: есть 2 схемы декларирования... причем 1ая как раз без участия органа по сертификации (собственные док-ва и т.д.).
хз кароче мб я путаю что-то, но тут вроде тож все по тех. регламенту )))

Алексей Т. комментирует...

2 prisonpod Точно, и здесь по техрегламенту, и плюс подлежит регистрация декларации в едином регистре, которого фактически нет. Мутное дело в общем... Но по поводу остальных форм подтверждения соответствия - нет их.

Сергей Б комментирует...

Алексей Т: в первоначальном посте речь шла об оценке соответствия продукции - средств защиты информации.

А аттестация - для объекта информатизации.

Если рассуждать о добровольной оценке всего объекта, то есть ещё очень много добровольных способов оценки соответствия.
Например оценка соответствия ISO 27001 чем хуже? И методики есть и примеры.

Алексей Т. комментирует...

2 Сергей Б - ИСПДн это тоже продукция ;-) Что-то Вы в терминах запутались. А вот по 27001 проводится как раз аудит системы менеджмента информационной безопасности. Я всеми руками ЗА 27001, только сертифицированы порядка двух десятком компаний в РОссии всего. ДА и масштаб затрат совсем другой. А по поводу результата в другом посте наверное спорить надо.

Алексей Волков комментирует...

Давно ли ИСПДн стала продукцией? ;)

Алексей Т. комментирует...

2 Алексей Волков - с момента подписания ФЗ-152 ;-)

Алексей Волков комментирует...

А "продукцией" в треминологии чего? 15408?

Сергей Б комментирует...

Продукция - к ИСПДн не применима.
Продукция - это законченный результат некой деятельности. Купил результат и используешь его: хочешь в одно место поставил, хочешь в другое, хочешь установил ещё в один офис. От этого продукт не меняется и необходимость повторной оценки соответствия не возникает.

А информационная система - это совсем другое. Любое изменение в местах обработки, в технологии обработки, в составе обрабатываемых данных приводит к изменению системы.
Если мы проведем добровольную оценку соответствия ИСПДн в виде аттестации, то при любом изменении информационной системы, нам необходимо сделать как минимум частичную переоценку.
Разница есть.

Алексей Т. комментирует...

Что за обывательские разговорчики? :-) Продукция она и есть продукция - набор товаров это тоже продукция. С точки зрения сертификации "продукция - результат деятельности, представленный в материально-вещественной форме и предназначенный для дальнейшего использования в хозяйственных и иных целях". Кто будет спорить что ИСПДн не продукция? С другой стороны сертификации - услуга. Кто-нибудь готов отнести ИСПДн к услуге? Неизменность продукта? ЛЮБОЙ предмет материальный меняет свои свойства, от этого он не перестает быть ПРОДУКЦИЕЙ! Смешно устраивать здесь ликбез. :-)

Алексей Волков комментирует...

Эва как... Такие рассуждения обычно вызвают "терминологические черви" - заболевание опасное прежде всего своими осложнениями (по своему опыту знаю) :))

Вы слышали что-нибудь про SaaS, HaaS, м? Вот Вам примерчик. Заезжаю я в офис, а там - ну все есть: и локалка, и сервера, и 1С на них. Арендодатель мне говорит: я тебе это все в аренду сдаю. Все чистое, с нуля, конфигурации только сам настраивай, я тебе из аренды вычту. Ну и если ПДн будешь обрабатывать - то это твои проблемы.

Нигде не написано, что ИСПДн должна быть в собственности. Что я делаю? Правильно, настраиваю все под себя и начинаю свою операторскую деятельность. ИСПДн классифицирую... НО она же не моя - я получаю ее как услугу, причем всю, целиком!

К чему мы пришли? Где тут продукт, где услуга? Помогите, я запутался :)))

Алексей Т. комментирует...

2 Алексей Волков - Вы меня пугаете, Алексей! :-) Saas и Haas действительно подразумевают услугу - поддержку и настройку ПО и Железа соответственно. А то, что описали Вы с арендой офиса, это аренда ИСПДн, то есть продукции. А все, что Вы с ней делаете - Ваши проблемы и арендодатель в это дело не лезет. Учите матчасть!

Алексей Волков комментирует...

Эпэпэ, коллега :) Арендодатель сдает в аренду НЕ ИСПДн, а инфраструктуру. ИСПДНом она становится тогда, когда в ней появляются ПДн, причем ИСПДНом оператора - арендатора, и как только тот оттуда съедет - сразу прекратит свое существование как таковая.

ЗЫ да, такой я страшный

Алексей Волков комментирует...

Если бы арендодатель сдавал в аренду ИСПДн, то он и должен был бы принять все меры по безопасности-конфиденциальности. А так все это лежит на арендаторе.

Итого, имеем: где же тут продукция начинается и когда она заканчивается?

Алексей Т. комментирует...

Подытожу: продукция - всё материальное, услуги - это действия, деятельность (как процесс) людей. Какие могут быть пересечения и сомнения я не пойму. :-) документ - ИСПДн, а действия, которые вы по документу делаете - услуга.

Алексей Т. комментирует...

Пропустил один комментарий.  Арендодатель сдает набор продукции в виде серверов, рабочих станций, ПО и т.д. В момент передачи Вы ее можете оценить, например, на соответствие требованиям по совместимости, отказоустойчивости и т.д. Как только Вы загружаете туда ПДн, этот набор железа и ПО становится ИСПДн и может оцениваться на соответствие требованиям по защите ПДн (ФСТЭК, ФСБ, РКН, какие только выдумаете). Что оценивается – механизмы защиты, которые настроены – идентификация, разграничения доступа, антивир и т.д. И здесь то вполне применима система сертификации ФСТЭК – в случае чистого железа, ПО и документации можно сертифицировать всю систему (например, так сертифицируют в министерстве обороны). В случае учета организационных мер можно аттестовывать в системе аттестации ФСТЭК России. Надоело переписываться, скажите, как назвать ИСПДн – услуга, комплекс и т.д.?

Алексей Волков комментирует...

Ответ кроется в вопросе. Это информационная система, включающая в себя средства автоматизации (БД и СВТ) и неавтоматизированные средства). Смотрите 152-ФЗ и ПП781. То есть АС может быть как ИСПДн (если в ней обрабатываются ПДн), так и ее составной частью (если помимо автоматизированной обработки есть еще неавтоматизированная, участвующая в этих же процессах).

Можно, конечно, попытаться привязать ее к продукту, но я не зря спросил, в какой это терминологии. В терминологии 15408 тот пример, что я привел, к ИТ-продукту не привяжешь. А в другой - хз. В любом случае, я думаю, что ИСПДН это все же АС, в котороой обрабатываются ПДн.

Алексей Т. комментирует...

А что ВЫ подразумеваете под неавтоматизированными средствами? ЧТо-то новенькое в российской терминологии. Итак, ликбез: информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств втоматизации или без использования таких средств. ВСе это материальные средства (ну за исключением непосредственно ПДн, которые являются информацией), которые могут быть продукцией. Соответственно ИСПДн - это некая совокупность продукции. Откуда у ВАс взялся термин АС непонятно, я бы не стал асоциировать с АС в терминологии ФСТЭК чтобы не путать. В 15408 полная путаница с системами и ИТ, входящая в конфликт с понятиями остальных документов ФСТЭК, так что лучше не ссылаться на ОК. Чтобы не путаться в терминах нужно для себя изначально очертить перечень НМД, которые используются и утвердить терминологию. К сожалению большинство интеграторов слишком вольно оперируют терминами и определениями... ВСё, устал спорить. ВСем спасибо.

Алексей Волков комментирует...

Это не моя придумка - это вытекает из определения:

> с использованием средств автоматизации или без использования таких средств

То есть ИСПДн может содержать, а может и не содержать средства автоматизации.

Упорядоченная совокупность (средств автоматизации) выступающая как единое но делимое целое и служащее единой цели и есть (автоматизированная) система. Как-то так в философии (в скобках - для ИТ).

Ну а с терминологией я согласен, и все же у меня в голове плотно сидят ОК, (там все достаточно понятно кстати). Поэтому и спросил где точка отсчета.

То что АС совокупность ИТ-продуктов - тоже согласен. Но вот дальше что-то как-то... Читаю:

> Откуда у ВАс взялся термин АС непонятно, я бы не стал асоциировать с АС в терминологии ФСТЭК чтобы не путать.

Я ссылался именно на нее, однако Вы говорите что на нее не будем ссылаться. ОК, ладно. Далее:

> В 15408 полная путаница с системами и ИТ, входящая в конфликт с понятиями остальных документов ФСТЭК, так что лучше не ссылаться на ОК.

Но мы же только что выше договорились, что на ФСТЭК не ссылаемся. Теперь - не ссылаемся и на ОК? Позвольте, но тогда на что же? На Ваше мировоззрение? Тогда к чему такие длиииинные тексты - просто сказали бы - я так думаю, и никто меня не разубедит :)

ЗЫ: Спасибо за ликбез, кстати :))))

Сергей Б комментирует...

Алексей Т: в вашем ликбезе вы забыли один момент.
Частью ИСПДн являются Информационные технологии, позволяющие осуществлять обработку ПДн.

В соответствии с 149-ФЗ,
"информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов"

Это не материальные средства и не могут быть названы продукцией.

Алексей Т. комментирует...

Почти докопались до истины, предлагаю закончить....

Алексей Волков комментирует...

До истины мы никогда не докопаемся :) Если включить МОЕ ПЕРСОНАЛЬНОЕ обывательское мировоззрение - то продукт - это нечто, что можно потрогать, в красивой упаковке и приложенным к нему сертификатом. Но в какой информационной системе будеть он применяться, для каких целей, и какие технологии обработки информации будут с его помощью реализованы - это совсем другое дело, от продукта никак не зависящее.

Алексей Т. комментирует...

Устал спорить, истина где-то посередине однозначно. :-) Согласен, что ИТ не продукция (точнее не все ИТ, хотя и процесс можно считать продукцией ;-)). Напомню исходные данные спора - чем же считать ИСПДн в рамках ФЗ о ТР и как его сертифицировать? Я придерживаюсь (и применяю успешно у Заказчиков) подхода аттестации ИСПДн по требованиям ФСТЭК. И всем нравится, у всех получается сопровождать систему и применять материалы аттестации...

pushkinist комментирует...

"То есть АС может быть как ИСПДн (если в ней обрабатываются ПДн), так и ее составной частью (если помимо автоматизированной обработки есть еще неавтоматизированная, участвующая в этих же процессах)."

а что, в АС не бывает неавтоматизированной обработки?

Павел Мир комментирует...

По сути, процедура Декларирования в данный момент "высасана из пальца" т.к. нет технического регламента на который она опирается. Я считаю, что вполне достаточно:

1) Аттестации ИСПД (НСД) по СТР-К, т.к его можно применять. Измерения ПЭМИН производить не обязательно.
2) Заключения тех службы оператора.

Других компетентных мер я лично не вижу до тех пор, пока ФСТЭК нас чем нибудь не "обрадует".

Алексей Волков комментирует...

to pushkinist: опять же, смотря что считать неавтоматизированной :)))

Алексей Волков комментирует...

to Алексей Т.: ну вот, а общественность будоражили. Продукт, продукт... :)))

Алексей Т. комментирует...

Конечно продукт!!!!Иначе совсем запутаем народ... :-) ОЦениваем систему как продукт - со своими границами и ограничениями. Других вариантов ФЗ о ТР нам не предоставляет.

Алексей Волков комментирует...

Алексею Т.: Ну, $%#$&^&$&#%#^%#^%&^&)(*_)&)*^%&$%& !!! :)))))