Вот забавная история происходит с пресловутым 330-м Постановлением Правительства "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)" (длинное название, взятое почти дословно из 5-й статьи ФЗ "О техрегулировании"). Его мало кто видел, ибо оно носит статус ДСП, что само по себе является нонсенсом для обязательного для всех операторов персданных нормативного документа.
Во-вторых, у него интересная область применения. Логично было бы предположить, что оно должно распространяться на все виды конфиденциальной информации... Ан нет. Только на государственные информационные ресурсы и персданные. Почему (хотя это и хорошо) за скобки вынесены врачебная тайна, тайна усыновления и т.п.? Ведь они не менее важны и критичны, чем персданные.
В-третьих, оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). Т.е. то, что было написано в 58-м приказе ФСТЭК и по разному толковалось разными экспертами теперь имеет четкое толкование - только обязательная сертификация.
В-четвертых, к принципам подтверждения соответствия относится "ограниченный доступ к информации и документам, касающимся установления обязательных требований, сертификационных испытаний продукции и подтверждения ее соответствия, а также методов и способов защиты информации конфиденциального характера". Иными словами ФСТЭК, ФСБ и МинОбороны теперь имеют полное право выпускать ДСПшные документы. Правда, совсем непонятно, как теперь соотносится 1009-е и 330-е постановления?..
А про аттестацию ИС ничего не написано?
ОтветитьУдалитьА где само постановление? Что за нагнетание интриг, Алексей?
ОтветитьУдалитьСамо постановление ДСП ;-(
ОтветитьУдалитьПро аттестацию впрямую ничего, но есть пункт "Объектом обязательной сертификации является продукция. Объектом государственного контроля (надзора) являются продукция (работы, услуги) и процессы". Так что аттестации пока не нужно.
Совсем уже запутался. Помогите разобраться.
ОтветитьУдалить1. Нужны ли лицензии ФСБ (СКЗИ) и ФСТЭК (ТЗКИ), оператору ПДн?
2. Нужна ли аттестация ИСПДн (любых классов)?
Прошу прощения, что переспрашиваю, но лучше переспросить, чем не понять.
>> Grigoriy пишет...
ОтветитьУдалитьТеперь еще нужна лицензия Минобороны :-))
Этот комментарий был удален автором.
ОтветитьУдалитьА как получить ПП-330? Необходимо писать письмо во ФСТЭК?
ОтветитьУдалитьМожно попробовать
ОтветитьУдалитьВот это чудеса из чудес. Так, глядишь, скоро и ФЗ начнут ДСПшные клепать. А там и до Конституции не далеко - пара-тройка ДСПшных статей.. А потом еще и посадят - ибо незнание законов не освобождает от ответственности за их неисполнение. Надо председателю правительства писать - путь высылают счет-квитанцию типографии, где заказывать экземпляр:) Времена четверокнижия вернулись :)
ОтветитьУдалитьПрактика общения с нашим ФСТЭКом показала:
ОтветитьУдалить1. Про ПП 330 изначально они не знают.
2. Сотрудники ФСТЭК сами выясняют вопрос в ЦА, после получения запроса и даже перезванивают, как только выясняют, что это за ПП и с чем его едят.
3. Заказ обычным порядком - как и для СТР-К, и для четверокнижья. Уже отправили письмо - пока ждем (соответственно, цена вопроса тоже пока неизвестна).
Всевозможные законы, постановления, указы, имеющие статус выше открытого (ДСП, секр и т.д.), издавались и будут издаваться, но имеют узкую сферу и направленность действия. Для массовой законности, чтобы не нарушать конституционный строй законодательный акт должен быть опубликован в открытой печати и только после этого он сможет вступить в законную силу, если иного не оговорено в самом документе, и опять же, обратной силы они не имеют, то есть в данном случае имею ввиду, что задним числом не может быть введен в действие, либо только сразу после опубликования, либо в определенный срок после опубликования. То есть, если таковое постановление имеется, то на кого-то оно может распространяться, а на кого-то нет. Думаю паниковать нет смысла пока :)
ОтветитьУдалитьВ связи с этим постановлением, при защите ПДн в соответствии со стандартом СТО БР ИББС, встроенные функции ОС и прикладного ПО теперь придется сертифицировать?
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалить2 Сергей Б.
ОтветитьУдалитьНу, если пройдут поправки Резника, то нет - там написано, что правительство занимается только вопросами защиты ПДн в гос. органах.
Но вообще, конечно, явно видны какие-то телодвижения в диаметрально противоположных направлениях (к вопросу об отмеченном Алексеем противостоянии "Путин"-"Медведев" в этих вопросах), поэтому конечный результат остается по-прежнему непредсказуемым (хотя попробую сделать прогноз - опять придется передвигать срок приведения в соответствие, потому что невозможно что-то делать, когда все так внезапно меняется).
P.S. Сергей Борисов - интегратор ИБ. Это не тот ли Сергей, про которого я подумал ;)
Тот самый.
ОтветитьУдалитьКоля - если у вас уже есть этот документ, кинь пожалуйста на почту.
Мы только заказали. Пока наш ФСТЭК официально пришлет - годы пройдут.
Встроенные функции ОС и прикладное ПО сертифицировать не придется. Это противоречит и ФЗ-184 и приказу ФСТЭК 199.
ОтветитьУдалитьАлексей, а можно раскрыть поподробнее последнее утверждение? Встроенные возможности ОС и ПО вполне себе живут в Приложении 1 к Положению - пункты 2.3 и 2.4, например.
ОтветитьУдалитьО каком положении речь?
ОтветитьУдалить2 Алексей
ОтветитьУдалитьО 199-м приказе ФСТЭК (точнее еще Гостехкомиссии) - Положение
о сертификации средств защиты информации по требованиям безопасности информации. Или не о нем была речь?
В общем-то и в 184-м непонятно, где указание на то, что нельзя потребовать сертификации встроенных возможностей ОС и ПО.
2.3 и 2.4 - это Программы, обеспечивающие разграничение доступа к информации и Программы идентификации и аутентификации терминалов и пользователей. Причем тут встроенная функциональность ОС?
ОтветитьУдалитьС данным положением вообще непонятные вещи происходят. ФСТЭК в него задним числом вносит все, что угодно. У меня версия 98-го года - так там совершенно иной перечень СЗИ, подлежащих сертификации. А ведь реквизиты Положения так и не менялись с тех пор. Странно это ;-(
Что же касается ФЗ-184, то ст.5 относится только к средствам защиты. А общесистемное и прикладное ПО к таковым не относится. Следовательно на него требования ФСТЭК не распространяются.
Ну как это причем?
ОтветитьУдалитьОдна из функций ОС - это разграничение доступа. А более широкое прочтение такое: если (например по проекту) нечто обеспечивает функционал СрЗИ - управление доступом, регистрация и учет, контроль целостности, криптографическая защита и т.п., то это нечто тоже становится СрЗИ и подлежит сертификации.
Ну и в целом к вопросу о том, что же такое СрЗИ:
2.7.2 Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.
Цитата из ГОСТ Р 50922-2006.
Т.е. мнение регуляторов на этот счет однозначно - СрЗИ все, что занимается защитой информации.
Ну в системе управления современными самолетами, в частности в A-380, тоже есть механизмы защиты информации. И в автомобилях. И в телефонах. И в поездах. И в атомных электростанциях. Что ж теперь, все их во ФСТЭК отдавать на сертификацию?.. ;-)
ОтветитьУдалитьЯ думаю, ФСТЭК не отказался бы :)
ОтветитьУдалитьК слову, РЖД вовсю сертифицирует какие-то свои программы управления тепловозами (правда на контроль отсутствия НДВ, но все же).