19.2.15

Сколько нужно сертификатов на МСЭ для реализации 120-го приказа Минкомсвязи?

Продолжая утреннюю заметку, хотелось бы привести еще один ответ Минкомсвязи на вопрос, который возникал уже неоднократно и который мне задавали заказчики и слушатели на разных мероприятиях. Он простой.

В п.7 приказа Минкомсвязи от 09.12.2013 №390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» говорится о том, что межсетевые экраны, обеспечивающие контроль за информацией, поступающей в информационную систему, должны быть сертифицированы по требованиям ФСБ России. А в п.8 этого же приказа говорится, что межсетевые экраны должны быть сертифицированы по требованиям ФСТЭК России.

Аналогичные требования установлены в п.1 и п.2 приказа Минкомсвязи от 03.05.2014 №120 «Об утверждении Требований, обеспечивающих технологическую совместимость информационных систем организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме с указанной инфраструктурой, к каналу связи и используемым для его защиты средствам криптографической защиты информации, а также особенностей использования стандартов и протоколов при обмене данными в электронной форме между информационными системами указанных организаций и инфраструктурой».

Я просил разъяснить, используемые в информационных системах, регулируемых данными приказами, межсетевые экраны должны быть сертифицированы в обеих системах сертификации ФСБ России и ФСТЭК России или достаточно сертификата соответствия только одной из двух систем сертификации? Как мы знаем, продуктов сертифицированных в обеих системах сертификации у нас всего 3 (если я не ошибаюсь) и поэтому не совсем разумно требовать сертификат сразу двух систем - это сильно сужает возможность выбора для заказчиков.

Но вот Минкомсвязь разъяснил свои требования. Сертификатов нужно два!


ЗЫ. Может стоит все-таки посмотреть на 17-й приказ?..

5 коммент.:

Unknown комментирует...

Алексей, а позвольте поинтересоваться, а какой статус у Минкомсвязи, как регулятора ИБ ?

Алексей Лукацкий комментирует...

Смотря о какой части ИБ мы говорим. Они отвечают за аккредитацию УЦ. Они рулят ИБ операторов связи. Они устанавливают требования по ИБ для ИСОП. В общем много чего регулируют

Unknown комментирует...

По идее тогда нужно смотреть административный регламент (положение) о Минкомсвязи, где должна быть обозначена их зона регулирования ИБ...

Илья Мизгирев комментирует...

Самое неприятное, то что у большей части сертифицированных МСЭ, сертификацию в ФСБ и во ФСТЭК проходят разные сборки прошивок.

Алексей Лукацкий комментирует...

Это проблема, но нерешаемая судя по отзывам разработчикам