29.02.2016

Может ли ГОСТ быть обязательным? Теперь может!

4 года назад я написал заметку про "обязательность" национальных стандартов (ГОСТов), которые могли получить статус обязательного применения не только путем включения упоминаний в ТЗ, но и в том случае, если автором ГОСТа был один из 4-х регуляторов в области защиты информации ограниченного доступа - ФСТЭК, ФСБ, МинОбороны и СВР. Шли годы и ситуация изменилась.

В июле 2015-го года был принят новый закон №162-ФЗ "О стандартизации в Российской Федерации" (на сайте "Российской газеты", в Консультанте, в Гаранте, у Президента). Согласно данному закону, а точнее его 6-й статье, в том случае, если речь идет о "стандартизации в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией", то такие стандарты являются обязательными к применению. Порядок такой стандартизации устанавливается Правительством РФ.

Этот закон вступил в силу 29-го сентября 2015-го года, но в полной мере (всеми своими статьями, включая и 6-ю) он заработает с 1-го июля 2016-го года. С этого момента (и после опубликования соответствующего Постановления Правительства, на что тоже понадобится некоторое время) национальные стандарты по информационной безопасности смогут уже безо всяких обиняков получать статус обязательных к применению, что открывает новые возможности для всех федеральных органов исполнительной власти, наделенных правом создавать свои собственные стандарты.

В законе говорится еще много чего о процедуре разработке и принятия ГОСТов и других документов по стандартизации, о признании международных стандартов и других вопросах, но в контексте последующих заметок я хотел остановиться только на одном аспекте нового закона - обязательности применения ГОСТа по защите информации ограниченного доступа.

6 коммент.:

Максим Зиналь комментирует...

Описанная вами законодательная логика по "обязательности" ГОСТ-ов в области ИБ полностью соответствует текущей практике использования средств шифрования. В частности, если заявляется защита информации криптографическими методами, то средство шифрования должно быть соответствующим образом сертифицировано, а один из существенных критериев сертификации - использование рекомендованных ГОСТированных алгоритмов.

Так что в этом смысле ничего нового.

Александр Бодрик комментирует...

Гм, тут же четко указано что это требования к оборонной продукции

Алексей Лукацкий комментирует...

Ты прочитай целиком

Александр Бодрик комментирует...

Я всегда читаю целиком. А в данном случае я еще показал фрагмент юристу, и он разделил мое удивление;)

Но вообще рановато ломать копья. Надо увидеть подзаконник от Правительства

Алексей Лукацкий комментирует...

Там перечислено четыре топика - оборонка, гостайна, информация ограниченного доступа и атомщики

Александр Хен комментирует...

А почему собственно шум и гам? Ну стандарт, ну обязателен для всех. ну не проработаны законы и подзаконные акты, ну не будут отвечать гостовые решения хацкерской эволюции, так и не будут соответствовать требованиям ГОСТа решения которые хоть и с опозданиями отвечают на вызовы. Не вижу проблемы. Проблема тока одна, в головах, но на те торсы свою голову не пришить и свой разум в серое вещество не влить. А тчорт совсем из головы вылетело, руку приложило сообщество vox populi.