Известный факт - все вопросы оценки соответствия (как элемента технического регулирования) описаны в ФЗ-184 "О техническом регулировании". Данный закон достаточно четко прописывает особенности оценки соответствия и сертификации, как одной из форм оценки соответствия. Но относятся ли эти особенности на средства защиты информации? И да, и нет.
Дело в том, что средства защиты информации, не без помощи наших регуляторов, попали под действие ст.5 ФЗ-184, которая имеет очень длинное и сложное название - "Особенности технического регулирования в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции". Без 100 грам не разберешься ;-) Чтобы облегчить сию задачу, я нарисовал картинку, которая отражает набор объектов, попадающих под регулирование ст.5 ФЗ-184.
Еще в бытность свою Президентом России Дмитрий Медведев пытался навести порядок в этой области, сначала включив в ФЗ-184 пункт о возможности признания западных сертификатов, потом направив в Госдуму на ратификацию "Соглашение о взаимном признании аккредитации органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия". Попутно было выпущено и 455-е Постановление Правительства от 17 июня 2010 года "Об аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по подтверждению соответствия", которое устанавливало единые требования для всех сертификационных лабораторий, в т.ч. и в области защиты информации. А ПП-455 ни много ни мало требовало наличия в органах по сертификации официально изданных действующих нормативных правовых актов, документов в области стандартизации, принятых на основе международных норм, устанавливающих требования к объектам подтверждения соответствия. Правда, потом, 24 января 2011 года Президент выпустил Указ о создании единого органа по аккредитации органов по оценке соответствия... за исключением органов, осуществляющих оценку соответствия в рамках ст.5 ФЗ-184. Но время шло... Президент покинул свой пост, но тему эту не оставил и на посту премьер-министра продолжил регулирование темы оценки соответствия, при этом продолжив начатый ранее курс на четкое разделение всех объектов оценки - по ст.5 и "все остальное".
В частности, 19 июня было выпущено новое Постановление Правительства № 602 "Об аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия, аттестации экспертов по аккредитации, а также привлечении и отборе экспертов по аккредитации и технических экспертов для выполнения работ в области аккредитации", которое, отменив ПП-455 и ПП-163, четко указало, что "особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке соответствия продукции (работ, услуг), указанных в статье 5 Федерального закона «О техническом регулировании», устанавливаются отдельным актом Правительства Российской Федерации" (раньше такой приписки не было, что создавало некоторую двойственность и неопределенность для органов по сертификации средств защиты).
Также Правительство подготовило проект Постановления "Об утверждении Положения об особенностях оценки соответствия оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения".
Если посмотреть на иллюстрацию выше, то мы увидим, что Правительство планомерно закрывает все объекты техрегулирования в ст.5 своими Постановлениями. Это тоже понятно, т.к. в п.2 ст.5 ФЗ-184 четко говорится, что особенности технического регулирования в части разработки и установления обязательных требований устанавливаются Президентом или Правительством.
Чем "закрыты" другие объекты ст.5? Продукция (работы, услуги) в целях защиты сведений, составляющих гостайну, у нас покрывается пусть "старым", но все еще действенным 608-м Постановлением Правительства "О сертификации средств защиты информации" от 26 июня 95-го года. Продукция (работы, услуги) в целях защиты информации ограниченного доступа покрывается часто упоминанемым ПП-330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)". Оно пусть и ДСПшное (ФСТЭК кивает на МинОбороны, установившее такой гриф), но все-таки хоть что-то. Хотя это парадокс. ПП-608 о средствах защиты гостайны открыто и публично, а ПП-330 о средствах защиты обычной конфиденциальной информации - закрыто для широких глаз.
К чему этот краткий анализ? Правительство стало приводить свою нормативную базу в порядок даже в такой непростой области, как та, что регулируется 5-й статьей ФЗ-184. Однако сейчас у меня возникает один простой вопрос. Что будет с 330-м Постановлением? Останется ли оно в том виде, как есть сейчас? Снимут ли с него гриф (и тогда все потребителям уже не отмазаться от применения сертифицированных средств защиты)? А может его и вовсе отменят, полностью заменив каким-то иным нормативным актом? Время покажет.
Дело в том, что средства защиты информации, не без помощи наших регуляторов, попали под действие ст.5 ФЗ-184, которая имеет очень длинное и сложное название - "Особенности технического регулирования в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции". Без 100 грам не разберешься ;-) Чтобы облегчить сию задачу, я нарисовал картинку, которая отражает набор объектов, попадающих под регулирование ст.5 ФЗ-184.
Еще в бытность свою Президентом России Дмитрий Медведев пытался навести порядок в этой области, сначала включив в ФЗ-184 пункт о возможности признания западных сертификатов, потом направив в Госдуму на ратификацию "Соглашение о взаимном признании аккредитации органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия". Попутно было выпущено и 455-е Постановление Правительства от 17 июня 2010 года "Об аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по подтверждению соответствия", которое устанавливало единые требования для всех сертификационных лабораторий, в т.ч. и в области защиты информации. А ПП-455 ни много ни мало требовало наличия в органах по сертификации официально изданных действующих нормативных правовых актов, документов в области стандартизации, принятых на основе международных норм, устанавливающих требования к объектам подтверждения соответствия. Правда, потом, 24 января 2011 года Президент выпустил Указ о создании единого органа по аккредитации органов по оценке соответствия... за исключением органов, осуществляющих оценку соответствия в рамках ст.5 ФЗ-184. Но время шло... Президент покинул свой пост, но тему эту не оставил и на посту премьер-министра продолжил регулирование темы оценки соответствия, при этом продолжив начатый ранее курс на четкое разделение всех объектов оценки - по ст.5 и "все остальное".
В частности, 19 июня было выпущено новое Постановление Правительства № 602 "Об аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия, аттестации экспертов по аккредитации, а также привлечении и отборе экспертов по аккредитации и технических экспертов для выполнения работ в области аккредитации", которое, отменив ПП-455 и ПП-163, четко указало, что "особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке соответствия продукции (работ, услуг), указанных в статье 5 Федерального закона «О техническом регулировании», устанавливаются отдельным актом Правительства Российской Федерации" (раньше такой приписки не было, что создавало некоторую двойственность и неопределенность для органов по сертификации средств защиты).
Также Правительство подготовило проект Постановления "Об утверждении Положения об особенностях оценки соответствия оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения".
Если посмотреть на иллюстрацию выше, то мы увидим, что Правительство планомерно закрывает все объекты техрегулирования в ст.5 своими Постановлениями. Это тоже понятно, т.к. в п.2 ст.5 ФЗ-184 четко говорится, что особенности технического регулирования в части разработки и установления обязательных требований устанавливаются Президентом или Правительством.
Чем "закрыты" другие объекты ст.5? Продукция (работы, услуги) в целях защиты сведений, составляющих гостайну, у нас покрывается пусть "старым", но все еще действенным 608-м Постановлением Правительства "О сертификации средств защиты информации" от 26 июня 95-го года. Продукция (работы, услуги) в целях защиты информации ограниченного доступа покрывается часто упоминанемым ПП-330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)". Оно пусть и ДСПшное (ФСТЭК кивает на МинОбороны, установившее такой гриф), но все-таки хоть что-то. Хотя это парадокс. ПП-608 о средствах защиты гостайны открыто и публично, а ПП-330 о средствах защиты обычной конфиденциальной информации - закрыто для широких глаз.
К чему этот краткий анализ? Правительство стало приводить свою нормативную базу в порядок даже в такой непростой области, как та, что регулируется 5-й статьей ФЗ-184. Однако сейчас у меня возникает один простой вопрос. Что будет с 330-м Постановлением? Останется ли оно в том виде, как есть сейчас? Снимут ли с него гриф (и тогда все потребителям уже не отмазаться от применения сертифицированных средств защиты)? А может его и вовсе отменят, полностью заменив каким-то иным нормативным актом? Время покажет.
4 коммент.:
ИМХО запретить производство/продажу несертифицированных СЗИ. По крайней мере для операторов/пользователей все проблемы отпадут. Да, вырастет стоимость, но сертификация производства или серии все равно дешевле. Будет больно, но один раз, лучше чем ампутация пилкой для ногтей.
Не отпадут, а будет все как в ФСБ, которые не могут дать внятного ответа, когда просто нет сертифицированных СКЗИ, а требование есть.
Требование продавать только сертифицированное имеет смысл при трех условиях - рынок СЗИ достаточен, а не зачаточен, когда сертификационные лаборатории обладают компетенцией проверять не только винду, и когда сертификация проходит не по требованиям для гостайны конца 80-х годов
В итоге все по Черномырдину. Предъявление заведомо невыполнимых требований наводит на грустные мысли - если звезды зажигают, значит это кому-то надо (выгодно). ИБ не исключение (парковки, митинги и т.д. и т.п.). Вообщем чиновники борются с коррупцией, а сутенеры с проституцией.
Отправить комментарий