Продолжая утреннюю заметку, хотелось бы привести еще один ответ Минкомсвязи на вопрос, который возникал уже неоднократно и который мне задавали заказчики и слушатели на разных мероприятиях. Он простой.
В п.7 приказа Минкомсвязи от 09.12.2013 №390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» говорится о том, что межсетевые экраны, обеспечивающие контроль за информацией, поступающей в информационную систему, должны быть сертифицированы по требованиям ФСБ России. А в п.8 этого же приказа говорится, что межсетевые экраны должны быть сертифицированы по требованиям ФСТЭК России.
Аналогичные требования установлены в п.1 и п.2 приказа Минкомсвязи от 03.05.2014 №120 «Об утверждении Требований, обеспечивающих технологическую совместимость информационных систем организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме с указанной инфраструктурой, к каналу связи и используемым для его защиты средствам криптографической защиты информации, а также особенностей использования стандартов и протоколов при обмене данными в электронной форме между информационными системами указанных организаций и инфраструктурой».
Я просил разъяснить, используемые в информационных системах, регулируемых данными приказами, межсетевые экраны должны быть сертифицированы в обеих системах сертификации ФСБ России и ФСТЭК России или достаточно сертификата соответствия только одной из двух систем сертификации? Как мы знаем, продуктов сертифицированных в обеих системах сертификации у нас всего 3 (если я не ошибаюсь) и поэтому не совсем разумно требовать сертификат сразу двух систем - это сильно сужает возможность выбора для заказчиков.
Но вот Минкомсвязь разъяснил свои требования. Сертификатов нужно два!
ЗЫ. Может стоит все-таки посмотреть на 17-й приказ?..
В п.7 приказа Минкомсвязи от 09.12.2013 №390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» говорится о том, что межсетевые экраны, обеспечивающие контроль за информацией, поступающей в информационную систему, должны быть сертифицированы по требованиям ФСБ России. А в п.8 этого же приказа говорится, что межсетевые экраны должны быть сертифицированы по требованиям ФСТЭК России.
Аналогичные требования установлены в п.1 и п.2 приказа Минкомсвязи от 03.05.2014 №120 «Об утверждении Требований, обеспечивающих технологическую совместимость информационных систем организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме с указанной инфраструктурой, к каналу связи и используемым для его защиты средствам криптографической защиты информации, а также особенностей использования стандартов и протоколов при обмене данными в электронной форме между информационными системами указанных организаций и инфраструктурой».
Я просил разъяснить, используемые в информационных системах, регулируемых данными приказами, межсетевые экраны должны быть сертифицированы в обеих системах сертификации ФСБ России и ФСТЭК России или достаточно сертификата соответствия только одной из двух систем сертификации? Как мы знаем, продуктов сертифицированных в обеих системах сертификации у нас всего 3 (если я не ошибаюсь) и поэтому не совсем разумно требовать сертификат сразу двух систем - это сильно сужает возможность выбора для заказчиков.
Но вот Минкомсвязь разъяснил свои требования. Сертификатов нужно два!
ЗЫ. Может стоит все-таки посмотреть на 17-й приказ?..
Смотря о какой части ИБ мы говорим. Они отвечают за аккредитацию УЦ. Они рулят ИБ операторов связи. Они устанавливают требования по ИБ для ИСОП. В общем много чего регулируют
ОтветитьУдалитьСамое неприятное, то что у большей части сертифицированных МСЭ, сертификацию в ФСБ и во ФСТЭК проходят разные сборки прошивок.
ОтветитьУдалитьЭто проблема, но нерешаемая судя по отзывам разработчикам
ОтветитьУдалить