Pages - Menu

Страницы

8.4.10

Что происходит в области ФЗ-152 (обзор)

Попросили в журнале CIO вести у них на сайте блог. Ну, а почему нет? Тем более, что особой частоты написания заметок пока не требуется. Первая заметка - обзор того, что происходит в области ФЗ-152 за последнее время. Учитывая, что основная аудитория сайта CIO - руководители ИТ-служб, то им некогда читать весь мой блог и рыскать в Интернете в поисках всей необходимой информации. Я в этом обзоре постарался свести воедино все, что сейчас делается.

ЗЫ. Вторая часть заметки.

16 комментариев:

  1. Я бы еще отметил, что стали появляться отраслевые требования по защите персональных данных. Хотя это возможно как раз для части №2

    ОтветитьУдалить
  2. По второй части ( http://www.cio-world.ru/blog/index.php?page=post&blog=aluk&post_id=88 ):

    >бороться с побочными электромагнитными излучениями и наводками. Обычно это реализуется такими устройствами, как генераторы шума, применение которых не только незаконно по действующему законодательству

    Скорее не незаконно, а "геморно". И более важен фактор наводок на мед. приборы.
    В Краснодарском РКН уже зарегили ГШ как СЗИ - http://23.rsoc.ru/news/news10888.htm

    ОтветитьУдалить
  3. >а декларирование соответствия в области информационной безопасности еще ждет своих первопроходцев.

    Что-то с учетом последних изменений в ФЗ "О техническом регулировании" и соответствующих ПП тема с декларированием соответствия стала какой-то совершенно непонятной...
    В частности - на что декларировать соответствие? Кому слать декларацию?

    Было бы интересно услышать информацию от тех, кто ближе к этой теме...

    ОтветитьУдалить
  4. toparenko: Ну на банкире эту тему обсуждали активно. Использование ГШ не в компетенции ФСТЭК, а ГКРЧ. Т.е. законно при условии получения всех необходимых разрешений, а это действительно геморрно.

    doom: На соответствие приказу 58. Слать во ФСТЭК. Сейчас по линии ФСБ такое сплошь и рядом. Там правда это называется нотификация и касается ввоза СКЗИ, но суть таже. Ты не проходишь обязательную процедуру, а самостоятельно на основании имеющихся нормативов декларируешь соответствие им.

    ОтветитьУдалить
  5. Да вот в том-то и дело, что не все так просто. Тех. регламента нет, значит ПП должно определять, что сертифицировать, а что можно декларировать. ПП у нас ушло от СрЗИ (как раз в конце прошлого года), сам закон оставил этот вопрос на откуп ФСБ и ФСТЭКу (статья 5).
    Ни тот, ни другой ничего про декларирование не сказали - а меж тем это одна из форм обязательного подтверждения соответствия.

    Ну а дальше еще веселее - форма декларации требует явного указания на соответствие какому тех. регламенту заявляется производитель - а тех. регламента нет - значит есть возможность развернуть декларацию, сказав, что она не соответствует принятой форме (и где же там наши антикоррупционщики?). Слать декларацию надо в орган по сертификации (т.е. в случае ФСТЭКа слать вообще куда-нибудь в ГНИИ ПТЗИ) - они могут сослаться на то, что реакция на декларации у них нигде не прописана.. Ну и т.п.

    В общем, если кто-то сможет зарегистрировать декларацию на соответствие 58-му приказу, то было бы очень интересно послушать как он это сделал и сколько времени это заняло.

    ОтветитьУдалить
  6. если не сложно - попроси CIO чтобы кнопку сделали "версия для печати" плз.

    ОтветитьУдалить
  7. Уважаемые, а кто мне объяснит какая связь осталась между СЗПДн и 184-ФЗ "О техническом регулировании" после Приказа 58 и изменений в 152-ФЗ?
    Внимательно перечитал статьи 184-ФЗ.
    К операторам ПДн это применимо только в части соблюдения обязательных правил наладки и эксплуатации продукции (СЗИ, сертифицированных оченвидно) или разработки и производства продуктов/услуг (лицензируемых - технической защиты информации) или явной оценки соответствия требованиям.
    Явные требования по аттестации/декларации соответствия защиты ИСПДн изъяли, лицензирование защиты самих себя вроде отменили, использование сертифицированных СЗИ в полном тумане. Таким образом, СЗПДн не подпадает ни под одну из существующих обязательных систем сертификации, а собственной еще не сложилось.
    А как правильно заметил doom, декларация есть форма подтверждения соответствия обязательному техрегламенту для получения сертификата соответствия и/или знака обращения на рынке.
    (Приказ 58 можно назвать опубликованным техрегламентом?)
    Я лично рекомендую при вводе в эксплуатацию, в рамках приемо-сдаточных испытаний проверять СЗПДн на соответствие разработанным оператором требованиям, оформлять соответствующими Актами и класть "под сукно, до востребования" - ибо 781-ПП требует и имеют право проверить.

    ОтветитьУдалить
  8. 2 vorpoul:
    ФЗ "О тех. регулировании" имеет отношение к СЗПДн своей статьей 5 в новой редакции:


    1. В отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу; продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; продукции (работ, услуг), сведения о которой составляют государственную тайну; продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии; процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения соответственно указанной продукции и указанных объектов обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, государственного управления использованием атомной энергии, государственного регулирования безопасности при использовании атомной энергии, и (или) государственными контрактами (договорами).

    Т.е. ФСТЭК и ФСБ сами определяют, чему должны удовлетворять СрЗИ для защиты ПДн.

    Приказ 58 тех. регламентом являться не может по определению - тех. регламент имеет статус федерального закона или (как временная мера) постановления правительства. Так что ПП 781 больше шансов имело бы стать тех. регламентом.

    А по поводу аттестации - есть еще ГОСТ 51583-2000, который все лицензиаты, вроде как, пообещали выполнять - там сказано четко:

    5.3. Применение АСЗИ для обработки защищаемой информации разрешается только после ее аттестации на соответствие требованиям безопасности информации.

    ОтветитьУдалить
  9. Ну такая вакханалия закончится 1 июля, когда вступит в силу статья 46.7 закона о техрегулировании.

    ОтветитьУдалить
  10. 2 doom
    Ссылка на ГОСТ 51583-2000 некорректна.
    Смотрим раздел 1 данного ГОСТ:
    "Настоящий стандарт распространяется на автоматизированные системы в защищенном исполнении, используемые в различных видах деятельности (исследование, управление, проектирование и т. п.), включая их сочетания, в процессе создания и применения которых осуществляется обработка защищаемой информации, содержащей сведения, отнесенные к государственной или служебной тайне."
    Дальше смотрим Указ 188 "Об утверждении перечня сведений конфиденциального характера"
    и видим, что "служебная тайна" никоим образом не относится к ПДн, о которых здесь идет речь.

    ОтветитьУдалить
  11. 2 Алексей Лукацкий:
    не закончится :)
    Они и дату "Ч" в последней редакции убрали. Причем не перенесли, а именно убрали.

    2 Валентин Хотько:

    Хм... Слона-то я и не приметил.
    Хотя по тексту, там еще упоминаются АСЗИ, обрабатывающие несекретную информацию, используемую в управлении экологически опасными объектами.

    Но просто информации ограниченного доступа действительно нет...

    ОтветитьУдалить
  12. О! Отменив один пункт, ввели другой - 46.1.

    ОтветитьУдалить
  13. Но при этом еще статья 5, которая говорит, что кроме тех. регламентов надо еще слушаться органов и правительство - что под действие 46-й статьи, по идее, не попадает.

    В общем бардак и есть бардак :)

    ОтветитьУдалить
  14. Я это трактую так. Есть ФЗ, который требует техрегламентов. Но раз пока их нет, то нужно выполнять требования органов исполнительной власти, но при условии, что они касаются жизни и здоровья...

    ОтветитьУдалить
  15. 2 doom:
    А как Вы трактуете части 2 и 4 статьи 5 184-ФЗ?
    С сокращениями:
    "2. Особенности технического регулирования в части разработки и установления обязательных требований ... федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации ... в отношении продукции (работ, услуг), объектов, указанных в пункте 1 настоящей статьи ... устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями."
    "4. Особенности оценки соответствия продукции (работ, услуг) и объектов, указанных в пункте 1 настоящей статьи, а также соответственно процессов их проектирования ... производства ... монтажа, наладки, эксплуатации, хранения ... утилизации ... устанавливаются Правительством Российской Федерации."


    Я понял это примерно так: в особых случаях, в интересах безопасности, Правительство может дать отмашку оценивать соответствие на любые требования ФОИВ в любой форме (коего случая вроде по 152-ФЗ не объявляли, а, наоборот, указано - в установленном порядке).

    ОтветитьУдалить
  16. Именно. Обязательные требования у нас определяет только Правительство.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.