Pages - Menu

Страницы

12.7.10

О 330-м постановлении Правительства

Вот забавная история происходит с пресловутым 330-м Постановлением Правительства "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об  особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)" (длинное название, взятое почти дословно из 5-й статьи ФЗ "О техрегулировании"). Его мало кто видел, ибо оно носит статус ДСП, что само по себе является нонсенсом для обязательного для всех операторов персданных нормативного документа.

Во-вторых, у него интересная область применения. Логично было бы предположить, что оно должно распространяться на все виды конфиденциальной информации... Ан нет. Только на государственные информационные ресурсы и персданные. Почему (хотя это и хорошо) за скобки вынесены врачебная тайна, тайна усыновления и т.п.? Ведь они не менее важны и критичны, чем персданные.

В-третьих, оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). Т.е. то, что было написано в 58-м приказе ФСТЭК и по разному толковалось разными экспертами теперь имеет четкое толкование - только обязательная сертификация.

В-четвертых, к принципам подтверждения соответствия относится "ограниченный доступ к информации и документам, касающимся установления обязательных требований, сертификационных испытаний продукции и подтверждения ее соответствия, а также методов и способов защиты информации конфиденциального характера". Иными словами ФСТЭК, ФСБ и МинОбороны теперь имеют полное право выпускать ДСПшные документы. Правда, совсем непонятно, как теперь соотносится 1009-е и 330-е постановления?..

23 комментария:

  1. А про аттестацию ИС ничего не написано?

    ОтветитьУдалить
  2. А где само постановление? Что за нагнетание интриг, Алексей?

    ОтветитьУдалить
  3. Само постановление ДСП ;-(

    Про аттестацию впрямую ничего, но есть пункт "Объектом обязательной сертификации является продукция. Объектом государственного контроля (надзора) являются продукция (работы, услуги) и процессы". Так что аттестации пока не нужно.

    ОтветитьУдалить
  4. Совсем уже запутался. Помогите разобраться.
    1. Нужны ли лицензии ФСБ (СКЗИ) и ФСТЭК (ТЗКИ), оператору ПДн?
    2. Нужна ли аттестация ИСПДн (любых классов)?
    Прошу прощения, что переспрашиваю, но лучше переспросить, чем не понять.

    ОтветитьУдалить
  5. >> Grigoriy пишет...
    Теперь еще нужна лицензия Минобороны :-))

    ОтветитьУдалить
  6. Этот комментарий был удален автором.

    ОтветитьУдалить
  7. А как получить ПП-330? Необходимо писать письмо во ФСТЭК?

    ОтветитьУдалить
  8. Вот это чудеса из чудес. Так, глядишь, скоро и ФЗ начнут ДСПшные клепать. А там и до Конституции не далеко - пара-тройка ДСПшных статей.. А потом еще и посадят - ибо незнание законов не освобождает от ответственности за их неисполнение. Надо председателю правительства писать - путь высылают счет-квитанцию типографии, где заказывать экземпляр:) Времена четверокнижия вернулись :)

    ОтветитьУдалить
  9. Практика общения с нашим ФСТЭКом показала:
    1. Про ПП 330 изначально они не знают.
    2. Сотрудники ФСТЭК сами выясняют вопрос в ЦА, после получения запроса и даже перезванивают, как только выясняют, что это за ПП и с чем его едят.
    3. Заказ обычным порядком - как и для СТР-К, и для четверокнижья. Уже отправили письмо - пока ждем (соответственно, цена вопроса тоже пока неизвестна).

    ОтветитьУдалить
  10. Всевозможные законы, постановления, указы, имеющие статус выше открытого (ДСП, секр и т.д.), издавались и будут издаваться, но имеют узкую сферу и направленность действия. Для массовой законности, чтобы не нарушать конституционный строй законодательный акт должен быть опубликован в открытой печати и только после этого он сможет вступить в законную силу, если иного не оговорено в самом документе, и опять же, обратной силы они не имеют, то есть в данном случае имею ввиду, что задним числом не может быть введен в действие, либо только сразу после опубликования, либо в определенный срок после опубликования. То есть, если таковое постановление имеется, то на кого-то оно может распространяться, а на кого-то нет. Думаю паниковать нет смысла пока :)

    ОтветитьУдалить
  11. В связи с этим постановлением, при защите ПДн в соответствии со стандартом СТО БР ИББС, встроенные функции ОС и прикладного ПО теперь придется сертифицировать?

    ОтветитьУдалить
  12. Этот комментарий был удален автором.

    ОтветитьУдалить
  13. 2 Сергей Б.

    Ну, если пройдут поправки Резника, то нет - там написано, что правительство занимается только вопросами защиты ПДн в гос. органах.

    Но вообще, конечно, явно видны какие-то телодвижения в диаметрально противоположных направлениях (к вопросу об отмеченном Алексеем противостоянии "Путин"-"Медведев" в этих вопросах), поэтому конечный результат остается по-прежнему непредсказуемым (хотя попробую сделать прогноз - опять придется передвигать срок приведения в соответствие, потому что невозможно что-то делать, когда все так внезапно меняется).

    P.S. Сергей Борисов - интегратор ИБ. Это не тот ли Сергей, про которого я подумал ;)

    ОтветитьУдалить
  14. Тот самый.
    Коля - если у вас уже есть этот документ, кинь пожалуйста на почту.

    Мы только заказали. Пока наш ФСТЭК официально пришлет - годы пройдут.

    ОтветитьУдалить
  15. Встроенные функции ОС и прикладное ПО сертифицировать не придется. Это противоречит и ФЗ-184 и приказу ФСТЭК 199.

    ОтветитьУдалить
  16. Алексей, а можно раскрыть поподробнее последнее утверждение? Встроенные возможности ОС и ПО вполне себе живут в Приложении 1 к Положению - пункты 2.3 и 2.4, например.

    ОтветитьУдалить
  17. 2 Алексей
    О 199-м приказе ФСТЭК (точнее еще Гостехкомиссии) - Положение
    о сертификации средств защиты информации по требованиям безопасности информации. Или не о нем была речь?
    В общем-то и в 184-м непонятно, где указание на то, что нельзя потребовать сертификации встроенных возможностей ОС и ПО.

    ОтветитьУдалить
  18. 2.3 и 2.4 - это Программы, обеспечивающие разграничение доступа к информации и Программы идентификации и аутентификации терминалов и пользователей. Причем тут встроенная функциональность ОС?

    С данным положением вообще непонятные вещи происходят. ФСТЭК в него задним числом вносит все, что угодно. У меня версия 98-го года - так там совершенно иной перечень СЗИ, подлежащих сертификации. А ведь реквизиты Положения так и не менялись с тех пор. Странно это ;-(

    Что же касается ФЗ-184, то ст.5 относится только к средствам защиты. А общесистемное и прикладное ПО к таковым не относится. Следовательно на него требования ФСТЭК не распространяются.

    ОтветитьУдалить
  19. Ну как это причем?
    Одна из функций ОС - это разграничение доступа. А более широкое прочтение такое: если (например по проекту) нечто обеспечивает функционал СрЗИ - управление доступом, регистрация и учет, контроль целостности, криптографическая защита и т.п., то это нечто тоже становится СрЗИ и подлежит сертификации.

    Ну и в целом к вопросу о том, что же такое СрЗИ:

    2.7.2 Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.

    Цитата из ГОСТ Р 50922-2006.
    Т.е. мнение регуляторов на этот счет однозначно - СрЗИ все, что занимается защитой информации.

    ОтветитьУдалить
  20. Ну в системе управления современными самолетами, в частности в A-380, тоже есть механизмы защиты информации. И в автомобилях. И в телефонах. И в поездах. И в атомных электростанциях. Что ж теперь, все их во ФСТЭК отдавать на сертификацию?.. ;-)

    ОтветитьУдалить
  21. Я думаю, ФСТЭК не отказался бы :)

    К слову, РЖД вовсю сертифицирует какие-то свои программы управления тепловозами (правда на контроль отсутствия НДВ, но все же).

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.