9.11.12

Какие нормативные акты требуют оценки соответствия средств защиты информации?

Позавчера я проводил внутренний семинар по вопросам оценки соответствия. В рамках подготовки этого семинара провел краткий анализ действующего законодательства на предмет составления списка нормативных актов, которые говорят о необходимости применения средств защиты, прошедших ту или иную форму оценки соответствия. Собственно фрагмент презентации с этого семинара со списком нормативных актов и прикладываю. Возможно, что проведу публичный семинар на эту тему.




Вчерашнее письмо из Минпромторга лишний раз подтверждает, что оценка соответствия средств защиты может быть воспринята по-разному и это не обязательно сертификация (если явно не сказано про сертификацию). Государственный контроль (надзор), о котором написал Минпромторг (а он, кстати, у нас главный в теме техрегулирования), является одной из семи форм оценки соответствия и одной из двух, упомянутых в ПП-330. Так что знание законодательства помогает решить многие вопросы, связанные с реализацией постоянно критикуемых нормативных актов регуляторов. Главное, не бояться этого делать.

10 коммент.:

doom комментирует...

Почему из презентации еще не исключено ПП781? Хотя включено 1119?
И еще на 6-м слайде в последней строке таблицы написано "Постановление Правительство"
Галактега опасносте :)

Сергей Борисов комментирует...

Спасибо, большой оказывается перечень.

А по какому алгоритму были отсортированы документы?

Анонимный комментирует...

Алексей, с оценкой соответствия для госов думаю скоро будет все однозначно, см. http://www.fstec.ru/_razd/_isp0o.htm Требования к защите не гостайны в ГИС: тут вам и сертификация без вариантов, и аттестация, и DLP, мало того, если сертифицированных решений, удовлетворяющих требованиям заказчика нет, то эти требования придется подгонять под существующие СЗи с сертификатом :-)))

Алексей Лукацкий комментирует...

Упс, про ПП-781 забыл. Спасибо

Алексей Лукацкий комментирует...

Алгоритма никакого - по мере прочтения нормативки. Потом может отсортирую

Алексей Лукацкий комментирует...

А в списке документов проект "нового СТР-К" есть. Для госов всегда все было однозначно

Сергей Городилов комментирует...

Не хватает Оценки эффективности мероприятий перед началом обработки ПДн(ФЗ-152, ст.19).
К оценке соответствия (в терминах закона о техрегулировании) оно не имеет прямого отношения, но всё же.

Алексей Лукацкий комментирует...

Для госов - оценка эффективности до ввода в эксплуатацию - это аттестация. Для коммерческих - это то, что они сами определят. Хоть аудит, хоть ввод в эксплуатацию.

Сергей Городилов комментирует...

Алексей, это одно из самых спорных Ваших высказываний.
Т.к. 1) В приведенной презе про Аттестацию для госов ничего нет, кроме гостайны. 2) Про "аттестация = оценка эффективности" тоже ничего нет. 3) Вообще про понятия эти ничего нет. 4) Да и забыто ПП о лицензировании ТЗКИ, где много чего сказано про аттестацию, только не сказано, для чего она нужна.
Т.е. трактую так данное утверждение: то ли оно - истина на уровне Вашей веры, то ли какой-то нормативный документ из числа действующих умалчивается Вами. Только вот какой и зачем?
Не может же быть так, что если во по всем вопросам Вы ищете истину в НПА, то вдруг в одном единственном вопросе её искать не следует, а следует верить.
Именно вот так я понимаю Ваше утверждение.

Алексей Лукацкий комментирует...

слайд 12 - СТР-К говорит об аттестации. Куча писем (в блоге тоже приводились) говорят о том, что ИСПДн в госах должны аттестовываться. Новый СТР-К говорит также об аттестации, а он будет применяться и для ИСПДн.