18 мая на сайте ФСТЭК было опубликовано информационное сообщение, разъясняющее позицию ФСТЭК в области оценки соответствия средств защиты информации. Предсказуемая и четко выстроенная логика:
Оценка соответствия средств защиты вытекает из ПП-1085 (Об утверждении положения о ФСТЭК). Для оценки разработано много РД и планируется разработать еще немало новых РД - по средствам доверенной загрузки, по DLP и т.д.
У меня комментариев только два (если не вспоминать про гриф ДСП на ПП-330) - в 330-м постановлении говорится не обо всех видах защищаемой информации, а только о ПДн и государевых информационных ресурсах (даже КСИИ там нет). И второе. В качестве форм оценки соответствия в 330-м говорится не только об обязательой сертификации, но и госконтроле (надзоре). Иными словами, вы можете либо сертифицировать свои СЗИ, либо ждать когда вам укажут на отсутствие сертифицированных решений в процессе проверки ФСТЭК. А учитывая, что полномочий проверять коммерческие структуры у ФСТЭК нет, то выводы делайте сами.
ЗЫ. ФСТЭК имеет право проводить проверки своих лицензиатов и требовать от них выполнения своих требований.
- для гостайны - ФЗ о гостайне -> ПП-608 -> обязательная сертификация
- для других видов информации ограниченного доступа - ФЗ о техрегулировании -> ПП-330 -> обязательная сертификация.
Оценка соответствия средств защиты вытекает из ПП-1085 (Об утверждении положения о ФСТЭК). Для оценки разработано много РД и планируется разработать еще немало новых РД - по средствам доверенной загрузки, по DLP и т.д.
У меня комментариев только два (если не вспоминать про гриф ДСП на ПП-330) - в 330-м постановлении говорится не обо всех видах защищаемой информации, а только о ПДн и государевых информационных ресурсах (даже КСИИ там нет). И второе. В качестве форм оценки соответствия в 330-м говорится не только об обязательой сертификации, но и госконтроле (надзоре). Иными словами, вы можете либо сертифицировать свои СЗИ, либо ждать когда вам укажут на отсутствие сертифицированных решений в процессе проверки ФСТЭК. А учитывая, что полномочий проверять коммерческие структуры у ФСТЭК нет, то выводы делайте сами.
ЗЫ. ФСТЭК имеет право проводить проверки своих лицензиатов и требовать от них выполнения своих требований.
4 коммент.:
Судя по "и ГНИИИ ГГГЗИ ФСТЭК России" - скан распознан... а где опубликовано ?
На сайте ФСТЭК России http://www.fstec.ru/_lenta/_lno.htm
>- для других видов информации ограниченного доступа - ФЗ о техрегулировании -> ПП-330 -> обязательная сертификация.
Нифига.
Пусть учитывают статус их системы сертификации. Там нонсенс получается: обязательная сертификация в системе добровольной сертификации РОСС RU.0001.030001 и РОСС RU.0001.01БИ00
toparenko: Ну про это тоже немало копьев сломано ;-)
Отправить комментарий