19.04.2016

Ответ Минкомсвязи про требование сертификата ФСТЭК на средства защиты при включении в реестр отечественного ПО

Пока идет форум директоров по ИБ я решил не публиковать запланированную заметку с обзором средств моделирования угроз; опубликую что-нибудь попроще. Это будет ответ Минкомсвязи, полученный одним из стартапов по ИБ, с которым я познакомился на тусовке ФРИИ, на вопрос о необходимости получения сертификата ФСТЭК на решения по защите конфиденциальной информации для включения продукта в реестр отечественного ПО.

Как вы помните, действующая нормативная база вполне определенно говорит, что средства защиты конфиденциальной информации, подаваемые на включение в реестр, должны иметь сертификат ФСТЭК. Мы уже разбирали эту ситуацию и хотя со мной ряд экспертов, представляющих отечественных производителей, спорил, что сертификат не требуется и "ваще это все фигня, эти ваши сертификаты ФСТЭК", со временем выяснилось, что сертификат все-таки нужен. Это вытекает из письма Министра Никифорова от 15 марта 2016 года, но... вот тут-то и проявляется самое интересное. Экспертный совет при Минкомсвязи убедил министра, что выполнять написанный же министерством и утвержденный Правительством нормативный акт можно не целиком. И министр с этим согласился! Это просто феерия какая-то.

Несмотря на требования наличия сертификата ФСТЭК на средство защиты, в письме говорится, что заказчики сами должны устанавливать требования по защите информации, в том числе и самостоятельно выбирать, будут они применять сертифицированные средства защиты или нет. Кто знаком с нормативной базой в области защиты информации, тот прекрасно знает, что никакой самостоятельности у государственных и муниципальных заказчиков нет - средство защиты обязано иметь сертификат ФСТЭК. Это написано в ФЗ-149, это же написано и в 17-м приказе ФСТЭК. Но Минкомсвязь, видимо, не знакомо с этими нормами и посему оно выпускает абсолютно безграмотное разъяснение за подписью министра.

При этом эксперты Экспертного совета защищают свою позицию тем, что "для попадания в реестр важно соблюдение критериев “отечественности”, а не наличие лицензий внутренних контролирующих органов" (имеется ввиду все-таки сертификат, а не лицензия) и "Сертификация не имеет прямого отношения к определению происхождения софта. Она занимает значительное время и требует существенных затрат. Эти факторы не должны затруднять работу экспертного совета и процедуру формирования Реестра". Я прекрасно понимаю чем это обусловлено (и все понимают), но так откровенно забивать болт на требования Постановления Правительства?.. Хотя бы внести изменения в его текст, чтобы придать всей этой конструкции хоть какую-то легитимность...

Я еще тогда говорил, что этот реестр - это профанация, а не импортозамещение и обеспечение национальной безопасности. Требований лицензии ФСТЭК на разработку и сертификата на разработанные средства защиты хоть как-то укладывались хотя бы во вторую составляющую. И вот теперь и на ней поставили крест. Один плюс - стартапам по ИБ теперь не надо заморачиваться получением сертификатов ФСТЭК, чтобы попасть в реестр Минкомсвязи (хотя этот сертификат понадобится при покупке решений заказчиками в рамках госзакупок).

И вот видя такую неразбериху, один из стартапов написал запрос в Минкомсвязь с просьбой разъяснить эту ситуацию и четко ответить - нужен сертификат или нет. Мне всегда казалось, что я могу выстроить цепочку рассуждений наших госорганов, готовящих официальные ответы на запросы граждан. И каждый раз регуляторы преподносят сюрпризы. Так оказалось и на этот раз. Итак ответ Минкомсвязи оказался следующим:


Если вкратце, то суть такова - "в одном месте наших правил сертификат требуется, в другом нет, а что вам делать, мы и сами не знаем - решайте сами".

5 коммент.:

Константин комментирует...

Во-первых, требования для всей продукции ЗИ об обязательной сертификации установлены в п.6 Положения из ПП-266. Это постановление издано согласно п.4 ст.5 ФЗ-184.
И не надо бегать искать другие документы.
Во-вторых, в письме всё достаточно адекватно написано. Сертификат должен быть на СЗИ, но в подтверждение того, что он у вас имеется не обязательно присылать сам сертификат, можно и иными документами попробовать подтвердить его наличие.

Shakhnoza Salmanova комментирует...

Проблем в ответе Министерства не увидела. Например, при подаче заявления на загранпаспорт тоже не нужно предоставлять кучу документов, этого нет в требованиях для подачи. Но это не значит, что эти документы не нужны, просто их запрашивают сами "выдаватели" и от "подавателя" они не требуются.
А вообще качество ответа оставляет желать лучшего: ошибки, опечатки, пропущенные слова...(((

Алексей Лукацкий комментирует...

Каждый видит свое

Tomas комментирует...

Алексей, сертификация=время, не говоря уже про деньги. Предлагать сначала получить сертификат, а потом только быть "православным софтом" на мой взгляд, не честно. Это снижает здоровую конкуренцию на рынке.
А если это ОС, а если это МЭ и речь про сертификацию ФСТЭК? Ждать пока требования появятся, потом проводить сертификацию (я про новеньких), а потом уже быть "православным софтом"?
С ФСБ не легче, я про изменения в сторону "функционально законченное".
Вот и получается, что эксперты - это представители компаний-разработчиков, у кого уже есть сертификат и у них просто есть дополнительное основание отклонять конкурентов без сертификата. Потом прописывать в конкурсную документацию требование по состоянию в реестре отечественного софта и вуаля, привет супер отечественные ОС на базе Debian, CentOS, RedHat..., чьи эксперты и выбирают "отечественное".
А у вас есть пара заметок, про то, что оценка соответствия вовсе не обязательно сертификация. Сами себе противоречите в отношении того, что Заказчик затребует обязательно сертификат.

Алексей Лукацкий комментирует...

Для госов - оценка соответствия - это всегда сертификация. О чем я везде и пишу. Если Минкомсвязь не устраивает их собственный документ, то пусть вносят в него изменения, а не занимаются попытками объяснить, как его надо читать.