Вопрос, поднятый в заголовке, не так прост, как кажется на первый взгляд. Обычно считается, что национальные стандарты (ГОСТы) являются документами добровольного применения (согласно ст.12 ФЗ-184 "О техническом регулировании"), т.е. не могут быть обязательными к использованию. Иными словами, различные ГОСТы, имеющие отношение к информационной безопасности (18044 по управлению инцидентами, 18045 по оценке безопасности ИТ, 27001 и т.д.), носят характер рекомендательный. Но это не так.
17 октября 2009 года было принято Постановление Правительства №822 "Об утверждении Положения об особенностях стандартизации оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, а также процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции" (в Консультанте).
Основной объем текста постановления касается стандартизации оборонной продукции, но в 3-й части говорится и о нашей теме. Ст.27 говорит о том, что стандартизация того, что попадает в 5-ю статью ФЗ-184 осуществляется Ростехрегулированием, ФСТЭК, ФСБ, МинОбороны и СВР. А вот 28-я, последняя статья ПП-822, говорит о том, что обязательность применения этим самых стандартов устанавливается государственными заказчиками работ по стандартизации и 4-мя регуляторами, названными выше. Иными словами, ФСТЭКу ничто не мешает сделать любой свой ГОСТ (например, 51583 о создании АС в защищенном исполнении) обязательным к применению. И никаких дополнительных документов разрабатывать не надо. А еще таким же макаром можно и СТО БР ИББС сделать обязательным, придав ему сначала статус национального стандарта.
А вы говорите, не может быть...
17 октября 2009 года было принято Постановление Правительства №822 "Об утверждении Положения об особенностях стандартизации оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, а также процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции" (в Консультанте).
Основной объем текста постановления касается стандартизации оборонной продукции, но в 3-й части говорится и о нашей теме. Ст.27 говорит о том, что стандартизация того, что попадает в 5-ю статью ФЗ-184 осуществляется Ростехрегулированием, ФСТЭК, ФСБ, МинОбороны и СВР. А вот 28-я, последняя статья ПП-822, говорит о том, что обязательность применения этим самых стандартов устанавливается государственными заказчиками работ по стандартизации и 4-мя регуляторами, названными выше. Иными словами, ФСТЭКу ничто не мешает сделать любой свой ГОСТ (например, 51583 о создании АС в защищенном исполнении) обязательным к применению. И никаких дополнительных документов разрабатывать не надо. А еще таким же макаром можно и СТО БР ИББС сделать обязательным, придав ему сначала статус национального стандарта.
А вы говорите, не может быть...
Но все же это касается только оборонки...
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьКакие проблемы...
ОтветитьУдалитьЭтот вопрос всегда решался включением в различные ТЗ перечня ГОСТов...
Это касается не только оборонки. Оборонки касается вторая часть постановления, а третья - всего остального
ОтветитьУдалитьВ ТЗ - это в частном порядке. А тут можно просто принять ГОСТ и все ;-)
ОтветитьУдалитьТак совпало, также недавно проводил исследование на тему ГОСТ-ов.
ОтветитьУдалитьВывод таков: самостоятельно ГОСТ-ы юридической силы не имеют, но на них могут быть сделаны ссылки в различных НПА, которые и делают их обязательными.
Касательно защиты информации с ограниченным доступом есть прямое указание в 184-ФЗ в статье 5 и 9.1, где указано про особый статус продукции, услуг, иных процессов относящихся к защите информации с ограниченным доступом: кроме всего прочего право Заказчика и ФОИВ устанавливать свои требования. А там и появляются отсылки к ГОСТ.