11.5.16

Обязательная сертификация средств защиты ПДн не обязательна (ответ ФСТЭК)

Кто следит за темой персональных данных, тот помнит, что я давно придерживаюсь позиции о том, что средства защиты персональных данных не обязательно должны иметь сертификат ФСТЭК. Я исхожу из банальной логики - в законе "О персональных данных" ни слова не говорится о сертификации, как единственно возможной форме оценке соответствия средств защиты персональных данных. И ПП-1119 про это не говорит. А закон "О техническом регулировании", который и регулирует вопросы оценки соответствия, также ни слова не говорит о том, что средства защиты ПДн должны быть сертифицированы. Он говорит немного о другом - устанавливает семь форм оценки соответствия и указывает, что особенности этой самой оценки для средств защиты информации устанавливают Президент или Правительство, но никак не регуляторы. Опираясь на эту логику я утверждал и утверждаю, что средства защиты персональных данных, исключая государственные и муниципальные ИС, могут пройти любую из существующих форм оценки соответствия, а не только обязательную сертификацию по линии ФСТЭК или ФСБ.

Однако такую позицию не разделяют отечественные производители средств защиты информации и многие интеграторы, считающие, что оценка соответствия и обязательная сертификация - это суть одно и тоже. Понять их можно. Местами они просто не разбираются в законодательстве, считая слова регулятора истиной в последней инстанции (даже если эти слова противоречат законодательству). Местами они просто не хотят спорить с регулятором или писать обоснования для своих заказчиков. Что может быть проще, чем сказать, что оценка соответствия может быть только в форме сертификации? По счастливой случайности эти же интеграторы и производители и продают сертифицированные средства защиты информации.

Аналогичную позицию еще несколько лет назад высказывал и регулятор в лице ФСТЭК или ФСБ. На заре появления законодательства по ПДн, ФСТЭК и ФСБ даже прописали это требования в своих не очень легитимных документах 2008-го года. Время шло, заказчики продолжали задавать вопросы регуляторам, слать юридически выверенные запросы... Сами регуляторы тоже становились более подкованными в юридических вопросах. Отношение к теме обязательной сертификации стало меняться. И вот на днях мне прислали ответ ФСТЭК на вопрос одного из стартапов по ИБ (этот и этот и этот ответы ему же). В этом ответе регулятор наконец-то подтвердил то, что он часто озвучивал на мероприятиях по ИБ и что вытекало из действующего законодательства.


Эта же мысль прописана и в 21-м приказе ФСТЭК, но не так явно, что и вызывало большое количество вопросов. Теперь ФСТЭК достаточно четко и явно ответила, что форма оценки соответствия средств защиты ПДн может быть любой, если это не ГИС/МИС, для которых оценка соответствия может быть только в форме обязательной сертификации. Для всех остальных форму оценку соответствия можно выбрать самостоятельно и она может быть и сертификацией. В этом случае надо руководствоваться 12-м пунктом 21-го приказа, который описывает классы защиты и защищенности СрЗИ персональных данных. Все предельно лаконично и логично. На мой взгляд, этот ответ ставит точку в долгих спорах о необходимости сертификации средств защиты ПДн для коммерческих операторов ПДн, которые могут самостоятельно определять форму оценки соответствия, упомянутую в ФЗ-152.

ЗЫ. Я не против сертификации как таковой, но у меня всегда были претензии к тому, как это производилось в России. Сейчас ситуация меняется, но пока не быстро.

ЗЫ. На вопрос о том, могу ли я поделиться всем ответом регулятора отвечаю - нет, не могу. Во-первых, этот ответ предназначен не мне и не мне им делиться. А во-вторых, это ответ конкретному лицу на конкретный вопрос. Использовать этот ответ как универсальный и юридический документ все равно не получится.

35 коммент.:

Константин комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Константин, внимательнее ПП-266 читайте. Оно гостайны касается. Вам лучше ссылаться на ПП-330 - оно то уж куда ближе к теме

Алексей Лукацкий комментирует...

И для загранучреждений к тому же

ProZa комментирует...

А как же "используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа".
Про загран - да, действительно...

ProZa комментирует...

Так это. А ДСП сняли с 330?

Алексей Лукацкий комментирует...

Я с ФСТЭК общаюсь достаточно давно. Ни разу от не слышал ссылки на ПП-266. Ни разу

Алексей Лукацкий комментирует...

Не сняли ДСП. Процедуры такой нет ;-)

Константин комментирует...

Алексей, приношу свои извинения. Согласен, ПП-266 касается загран учреждений.

Алексей Лукацкий комментирует...

Да нормально все. С этой 5-й статьей куча всего происходит постоянно

Коловангин Сергей комментирует...

… А закон "О техническом регулировании", который и регулирует вопросы оценки соответствия, также ни слова не говорит о том, что средства защиты ПДн должны быть сертифицированы.

И не должен говорить, т.к. согласно ч.4 ст. 5 ФЗ-184:
4. Особенности оценки соответствия продукции (работ, услуг), указанной в пункте 1 настоящей статьи, [...] устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти.

Правительством в свою очередь Постановление от 15.05.2010 №330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа […]», согласно п. 6 которого оценка соответствия СрЗИ осуществляется в формах обязательной сертификации и государственного контроля (надзора) - о чём Вы писали ещё несколько лет назад, если мне память не изменяет.

Он говорит немного о другом - устанавливает семь форм оценки соответствия…

Выдирание фразы из контекста, т.к. абзац про формы оценки соответствия не является отдельной статьёй, а должен рассматриваться в контексте ст. 7 в целом, где про эти 7 форм и упоминается. В полной же версии ст. 7 термин «оценка соответствия» применяется в контексте оценки соответствия требованиям технических регламентов. В ч. 1 этой же статьи приведён исчерпывающий перечень требований, устанавливаемых техническими регламентами, и вопросов определения требований к СрЗИ там не обозначено (т.к. вопросы особенностей оценки соответствия СрЗИ согласно п. 4 ст. 5 ФЗ-184 возложены на Правительство РФ и уполномоченные органы).

… и указывает, что особенности этой самой оценки для средств защиты информации устанавливают Президент или Правительство, но никак не регуляторы.

Согласно ч.4 ст. 5 ФЗ-184:
4. Особенности оценки соответствия продукции (работ, услуг), указанной в пункте 1 настоящей статьи, [...] устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти.

Посмотрим, что нам говорит ч. 3) ст. 1 Положения о ФСТЭК России:
1. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
[…]
3) обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации (далее - техническая защита информации);
[…]

Что может быть проще, чем сказать, что оценка соответствия может быть только в форме сертификации? По счастливой случайности эти же интеграторы и производители и продают сертифицированные средства защиты информации.

Интеграторов тоже можно понять, т.к. помимо естественного желания продать средства, есть ещё и желание сохранить лицензию на ТЗКИ, т.е. про ДСПшное ПП-330 лицензиатам знать всё же надо и в условиях некоторой неопределённости в законодательстве интеграторы перестраховываются, предлагая контрагентам сертифицированные средства.

Вот когда суд отменит ПП-330, тогда и можно будет говорить про иные формы оценки соответствия.

И вот на днях мне прислали ответ ФСТЭК [...] В этом ответе регулятор наконец-то подтвердил то, что он часто озвучивал на мероприятиях по ИБ и что вытекало из действующего законодательства.

Печально, что представители регулятора дают такие ответы.
Но надо отдавать себе отчёт, что грамотный юрист в случае чего найдёт на это письмо контраргументы в суде путём отсылки к конкретным статьям законодательства.

Алексей Лукацкий комментирует...

Сергей, по пунктам:

1. ПП-330 является недействительном по формальным признакам. На него даже ФСТЭК перестала ссылаться уже года 4 как.

2. ч.4 ст.5 действительно говорит про ФОИВ, но если вы посмотрите на ФЗ, который внес эту правку, то это был закон о регулировании атомной энергетики и право Росатомнадзора устанавливать свои правила оценки соответствия продукции для атомной энергетики. ФСТЭК опять же ни разу на моей памяти не использовала эту часть для обоснования требования сертификации СрЗИ.

3. А вот то, что интеграторы перестраховываются - это понятно. Я и не спорю с этим.

4. До суда дело вообще не дойдет, так как ФСТЭК не имеет полномочий проводить проверки коммерческих операторов ПДн и не будет иметь никаких претензий к операторам, которые используют несертифицированные решения.

Коловангин Сергей комментирует...

1. А кто и когда его отменил? Решения суда не было, приказа не было. Формальных аргументов здесь, как мне кажется, маловато будет.
Опять же, лицензиату ФСТЭК никто не мешает использовать ДСПшные СТР-К, но что-то должно мешать использовать ПП-330?
2. Пусть даже атомщики и добавили фразу про уполномоченные органы, Правительство-то никуда не девалось.
В статье 5 ФЗ-184 прямым текстом через запятую перечислено "продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа". Данная фраза не относится исключительно к гостайне или атомной энергетике и т.д.
3. -
4. Гипотетически. Автор запроса будет считать ответ регулятора истиной в последней инстанции, но такой ответ можно и оспорить, что в некоторый момент может оказаться неожиданностью.

Алексей Лукацкий комментирует...

1. Согласно ФЗ-294 и ФЗ-152 любой нормативный акт, устанавливающий какие-либо обязательные правила, должен быть открыто опубликован. Особенно если он распространяется на 5 миллионов операторов ПДн. В случае с ПП-330 этого сделано не было и операторы, а именно на них оно распространяется, о нем не знают. Фактичеки и формально ПП-330 не действует.

2. Ст.5 состоит из двух частей. Первая - выводит информацию ограниченного доступа (и другие объекты) из под действия техрегламентов. Вторая часть говорит, что особенности оценки соответствия определяет Правительство и Президент. И вот тут написано, как они наводят порядок - http://lukatsky.blogspot.ru/2012/07/blog-post_03.html

4. Любой ответ можно оспорить, как и любой нормативный акт. Вопрос только в судебной практике. Пока ее нет. За столько лет ФСТЭК ни разу не судилась по поводу неиспользования сертифицированных СрЗИ коммерческими операторами ПДн. Поэтому любые рассуждения вообще ни о чем.

Unknown комментирует...

ПП№266 на что же оно распространяется? (не стоит ссылаться на то, что ФСТЭК им не оперирует)для удобства разбил сложное предложение на части).
"Настоящее Положение устанавливает особенности оценки соответствия
- продукции (работ, услуг)(условно обозначим продукция 1), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (далее - иные сведения ограниченного доступа),
- и продукции (работ, услуг) (условно обозначим продукция 2), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения (далее соответственно - продукция (работы, услуги), процессы.

Т.о. я с вами, Алексей, не согласен, что ПП266 касается:
а) только гостайны
б) только загранучреждений

Алексей Лукацкий комментирует...

Это ваше право. Со мной многие несогласны ;-) Но почему-то ФСТЭК ни разу не ссылался на ПП-266. Странно, да? А ведь куда как проще сослаться на ПП-266 и не иметь вообще проблем с обоснованием необходимости применения сертифицированных СрЗИ

Ronin комментирует...

Алексей, уточните момент про оценку соответствия по 184-ФЗ, если не сложно:
В 184-ФЗ "О техническом регулировании" определено, что Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме. При этом, правила и формы оценки соответствия, а также требования к объекту оценки, должны быть определены в техническом регламенте, который принимается федеральным законом, постановлением Правительства Российской Федерации или нормативным правовым актом федерального органа исполнительной власти по техническому регулированию (п. 10, ст. 7 184-ФЗ) в соответствии со ст. 9, 9.1 184-ФЗ.
Уполномоченным органом по техническому регулированию в области защиты информации является ФСТЭК России, соответственно, она принимает технические регламенты.
Итого цепочка: да, можно использовать не только сертификацию, но любая оценка соответствия проводится в соответствии с техническим регламентом, который может быть принят федеральным законом, постановлением Правительства Российской Федерации или нормативным правовым актом федерального органа исполнительной власти по техническому регулированию. Вам известны принятые в установленном порядке альтернативные технические регламенты для проведения оценки МЭ?

Алексей Лукацкий комментирует...

Ни одного регламента по ИБ у нас не принято ибо невозможно - регламент принимается в целях защиты жизни и здоровья, что к ИБ сложно притянуть

Unknown комментирует...

Я не сторонник обязательности использовария сертифицированных СрЗИ для коммерческих организаций для защиты ПДн. Просто на уровнен ПП266 ввели единственную форму оценки соотвествия СрЗИ в виде обязательной сертификации (а кто ссылается или не ссылается на него - до поры до времени не важно).
ФСТЭКу досталось сложное наследие из фз152 и 1119, именно оттуда корни п.6 21 приказа, но куда как правильнее было бы более четко сформулировать п.6, чем писать всем разъяснительные письма.

Ronin комментирует...

ПП266 только для загранучреждений.

Про Регламенты в целом верно, что их не принято. Но возникает вопрос:
У нас есть явные требования безопасности (например профили защиты новые, по которым сертифицируются СЗИ). У нас есть допустимая форма оценки - ввод в эксплуатацию. У нас ИСПДн 3 УЗ, с подключением к сети Интернет (самый классический сценарий) и мы покупаем МЭ. У нас есть информационное письмо ФСТЭК (http://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1142-informatsionnoe-soobshchenie-fstek-rossii-ot-28-aprelya-2016-g-n-240-24-1986) говорящее, что с одной стороны:
Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление обязательной сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.

а с другой, что:
Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий.

Но получается, что МЭ наш кто-то сделал, например ООО "Шарага" и если они говорят, что это МЭ, средство защиты, которое защитит нашу ИСПДн, то они создают средство защиты информации и должны руководствоваться данным документом. Ну и, соответственно, проводить оценку соответствия. Понятное дело, что метод "приемка в эксплуатацию" им недоступен. А что еще можно, ктоме сертификации? И да, профили на МЭ закрыты, но если посмотреть те же профили на антивирусы, то очевидно, что большинство требований безопасности, которые заявлены в профилях недоступны для оценки простым организациям на этапе приемки в эксплуатацию и без содействия производителя. Я уж не говорю про требования к НДВ.

Target комментирует...

Сторонники применения сертифицированных СЗИ в компаниях встречаются редко. В процессе разработки приказов № 21 и № 378 эксперты делали авторам замечание, что прямая ссылка на использование сертифицированных СЗИ (СКЗИ) для защиты ПДн является неправомерным сужением определения ст. 19 ФЗ № 152 и подпункта г) пункта 13 ПП РФ № 1119. Авторы прислушались к замечаниям, оставили формулировки из ФЗ и ПП РФ № 1119. Однако при этом написали НПА так, что правовая неопределенность осталась. При этом приказ № 378 однозначно указывает на необходимость использования сертифицированных СКЗИ (для всех случаев определен класс защиты), если криптографию применять необходимо (а это, как правило). Приказ № 21 менее категоричен, но по сути, вводит те же правила пунктами 4 и 12, в котором указаны классы защиты для некоторых СЗИ (МЭ, АВЗ, СОВ, СВТ???). Для минимизации регуляторных рисков можно ограничиться применением только указанных в п. 12 сертифицированных СЗИ. Однако регулятор обещал изменить п. 12 (включить СЗИ, для которых определен или изменен класс защиты). Негосударственных операторов ПДн спасает отсутствие Постановления Правительства о наделении регуляторов полномочиями по контролю выполнения ст. 19 ФЗ по отдельным видам деятельности (часть 9 ст. 19 ФЗ № 152). Такое ПП может быть принято, например, после принятия ФЗ "О безопасности критической информационной инфраструктуры РФ". Аналогичный риск возникает, если оператор ПДн имеет лицензию ФСТЭК и/или ФСБ России. Плановая проверка выполнения лицензионных условий может получиться проверкой, в том числе, выполнения требований к защите ПДн. Корпоративные юристы, как правило, принимают позицию о необходимости минимизировать регуляторные риски ИБ и использовать сертифицированные СЗИ, чтобы не судиться с регуляторами. Кто хочет создавать правоприменительную практику?

Роман Гусев комментирует...

Target, плановая проверка соблюдения лицензионных условий может получиться только проверкой соблюдения лицензионных условий (во всяком случае, со стороны ФСТЭК), о чем неоднократно сообщают сами проверяющие, т.к. они не вправе "требовать представления документов, информации, если они не являются объектами проверки и не относятся к предмету проверки...". Как уже в очередной раз упоминал Алексей, да и Вы об этом сами знаете и говорите, ФСТЭК не уполномочен проводить проверки коммерческих операторов ПДн в части защиты ПДн. И, согласитесь, использование сертифицированных СЗИ с целью минимизации риска претензий со стороны регулятора вследствие правовой неопределенности никаким образом не подтверждает обязательность применения таких СЗИ. Но споры же идут на предмет именно обязательности их применения?

Target комментирует...

Роман, понятно, что имеется неопределенность в законодательстве. Случайная или преднамеренная. Вопрос скорее об управлении этим регуляторным риском. Алексей предлагает принять риск и, если что, судиться с регуляторами. Альтернатива - минимизации риска с минимальными затратами. Юристам не очень хочется, чтобы пришел представитель территориального органа регулятора в филиал компании и по своему понятию трактовал положения НПА, которые позволяют это сделать, и выписывал предписание по ст. 13.12 КоАП РФ с остановкой деятельности на 90 суток и конфискацией несертифицированных СЗИ. Кстати, применение сертифицированных СЗИ лицензиатом является одним из условий лицензирования: "д) наличие автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации". Ничего не сказано о составе АС, сертифицированных СЗИ и области их применения. Никто не мешает задать вопрос лицензиату/оператору ПДн: "Какие АС, предназначенные для обработки КИ, у Вас имеются? А какие сертифицированные СЗИ применяет Ваша компания?". Возможно это тоже правовая коллизия разных НПА. Но она имеется, и не понятно кто и как захочет ей воспользоваться в разных ситуациях. При этом непрерывность бизнес процессов надо обеспечивать.

Roman S комментирует...

target вы случайно не представитель какого-нибудь интегратора? :)

#
Юристам не очень хочется, чтобы пришел представитель территориального органа регулятора в филиал компании и по своему понятию трактовал положения НПА, которые позволяют это сделать, и выписывал предписание по ст. 13.12 КоАП РФ с остановкой деятельности на 90 суто
#

А что компании дешевле будет разориться на новый парк сертифицированных СЗИ, чем напрячь юристов? Есть примеры, где остановили на 90 дней предприятие из за СЗИ в ПДн?
Никто не будет вваливать деньги из за гипотетических рисков "а вдруг закон сменят и атата". Пока закон сменят, сертификаты фстека 10 раз кончаться и компания попадет на еще большие деньги.

Есть ответы ФСТЭК-а подписанные их руководителями, где четко сказано, что такое оценка соответствия, которая проводится не только в форме сертификации. И фраза 12 пункта говорит только о том, что оператор может выбрать и серт. средства для защиты, а может и не выбрать.
Сравните с 17 приказом, где никаких развилок "при использовании", "оценок соответствия" нет, а все жестко прописано и закручено. Только сертифицированное, только конкретных классов и типов.

Алексей Лукацкий комментирует...

Target, буквально сегодня я проводил семинар по ПДн и все участники как один подтверждают, что основной вопрос, который задает руководство, когда им приносят счет на миллионы на сертифицированные СрЗИ - "Что будет, если не покупать сертифицированные СрЗИ? И есть ли практика наказаний?" И ответ на оба вопроса - "Ничего! Нет!" Так что попытка застращать потребителя тем, что придут и накажут (хотя никто прийти не может) - это из области устаревших методов продать плохо продаваемое.

Александр Бодрик комментирует...

Так как нормативку никто не читает, в последнее время предпочитаю исходить из политических аспектов. А именно - кого-то из чиновников накажут, если вот там-то будет утечка? В группе риска в т.ч. госкомпании, госорганы, муниципалы, разнообразные подведы и B2C организации у которых много ПДн. Например, телекомы (и они много делают по защите ПДн).

Если контора не в группе риска то ей целесообразно использовать типовые СЗИ - домен, бекап, антивирус. Если это например Росатом - лучше обвеситься всем:)

Tomas комментирует...

Алексей, "это из области устаревших методов продать плохо продаваемое." - так вы тоже продаете, хоть это и личный блог. :)
Давайте от обратного:
1. собираетесь купить антивирус, помимо Kaspersky есть сертификат и Symantec и у McAfee и т.д. Диск установочный стоит 2500 руб. - это дешевле судов;
2. Думаю, что сильно никто спорить не будет с утверждением: "для защиты ПДн нужно использовать только сертифицированные СКЗИ". АПКШ "Континент"/ViPNet это же и МЭ и СКЗИ, что мешает и в этом случае "убить 2х зайцев", а то и 3х - IDS.

Проблема там, где нужны высокопроизводительные СКЗИ/МЭ/СОВ - таким могут быть Cisco/CheckPoint/PaloAlto и т.д., но вот с СКЗИ и СОВ у всех проблемы. А как МЭ сертификаты есть. ПРоблемы и с НДВ-4, но тут на помощь могут придти те самые "впариватели" - интеграторы, которые умеют писать МУиМН с обоснованием отсутствия необходимости бояться закладок.
Еще проблемы в виртуализации, тут прямо беда. Вот тут про сертифицированные СЗИ нужно убрать, так как технологии "на пике", а нормативка отстает, требований нет.
Я бы предложил 3 случая, когда не надо покупать сертифицированное:
1. если нет требований Регулятора к конкретному классу СЗИ, который нужно купить (виртуализация);
2. там где требуются высокие производительные мощности и нет сертифицированных решений, их нет, а работать надо!;
3. западные компании, у которых есть требования головного офиса к филиалам и для связи с центром просто никто не будет использовать наше отечественное;

Алексей Лукацкий комментирует...

1. Антивирус - это не единственнон СрЗИ. И есть решения совсем по другому ценнику. Но проблема не в цене, а в процедуре обновления сертифицированных решений
2. СКЗИ не обязательно должны быть сертифицированны и - я уже про это писал

Tomas комментирует...

1. Я для примера привел САВЗ. Если Заказчик для себя решил на BIOS поставить пароль, а системник опечатать наклейками и организовал постоянный контроль того, что наклейки не срывают, то ему сертифицированные СЗИ от НСД: SecretNet/DallasLock/СтражNT и т.д. не обязательны, они ему вовсе не нужны. Ну а если он хочет с этой угрозой бороться через СЗИ от НСД - так они сертифицированы, как раз. Если надо порты и флэшки контролировать, то можно и DeviceLock использовать, он сертифицирован. Не буду продолжать, действительно много СЗИ и много сертифицированных.
А процедуру обновления ФСТЭК меняет и тут все наладиться.
2. СКЗИ для защиты ПДн. Я с вами согласен, что при грамотном обосновании можно и без СКЗИ обойтись, но это мастерство интеграторов обычно. Но вот про то, что они могут одновременно называться СКЗИ, защищать ПДн и НЕ быть сертифицированными - как представитель копании-лицензиата не могу согласиться, так как лицензия ФСБ сложно возобновляема при нарушениях :)

А проблема насущная не сертификация, а импортозамещение, потому что замещаются и сертифицированные сегодня западные решения. Вот это проблема, и у Cisco в том числе (действующих сертификатов в Реестре ФСТЭК полно), так же как и у Symantec, StoneSoft=McAfee и т.д. Еще далеко не все научились делать, но уже выгоняем с рынка западное.

Target комментирует...

Tomas, поддерживаю позицию. Примерно тоже я изложил выше другими терминами. Для крупного оператора ПДн какое-то количество сертифицированных СЗИ (СКЗИ) иногда более приемлемо, чем регуляторный риск.

Алексей Лукацкий комментирует...

Ну что ж вы сказочники-то такие, даже больше чем я :-) Покажите мне реально наступивший риск использования несертифицированных СрЗИ в коммерческих организациях.

Unknown комментирует...

target, ваша цитата "ПП266 только для загранучреждений." с точки зрения русского языка и ПП266 обоснуете свое утверждение? (ой сомневаюсь, что получится ;)

Я повторю еще раз:
1. Мы не говорим о том как к этому документу относится ФСТЭК, не он его писал в конце концов
2. Я не сторонник (даже противник) использования сертифицированных СрЗИ коммерческими организациями

Sanbr комментирует...

Алексей, добрый день!

У нас есть несертифицированные СЗИ, хотели бы соответсовать требованиям ФЗ-152, приказу 21 и ПП 1119, где говорится о применении СЗИ, прошедших оценку соответствия. Т.к. там прямо не указано об обязательной сертификации, то в соответсвии с ФЗ 184, мы можем выбрать "Декларирование соответствия", правильно? И, обеспечив собственной доказательной базой, декларировать о соответсвии применяемых в компании СЗИ требованиям Технического регламента, как это указано в ФЗ 184. Но еще хотелось бы понять, требованиям какого или каких Технических регламентов мы должны соотвествовать (наше СЗИ), с чем сверять и доказывать? Ощущение, что никаких Технических регламентов у ФСТЭКа нет, не разработано...

Алексей Лукацкий комментирует...

Неправильно. У нас нет техрегламентов на соответствие ИБ. Поэтому декларация соответствия не работает

Sanbr комментирует...

Алексей, да, мы и не нашли таких регламентов. Но ведь обязательная сертификация тоже проводится на соответствие Техническим регламентам, как это указано в ФЗ 184...но ее ведь проводят.

Так как в сертификатах соответствия, выдавыемых ФСТЭКом, указывается соответствие на Руководящие документы Гостехкомиссии. Может быть эти РД и считать за Технические регламенты?

Алексей Лукацкий комментирует...

Для обязательной сертификации средств защиты есть исключение в ст.5 ФЗ-184.

Технический регламент равнозначен закону, а РД - просто ведомственный документ.