1-го декабря вступили в силу новые правила ФСТЭК, согласно которым, все новые разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать новым требованиям ФСТЭК, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. №9. При этом в информационном сообщении ФСТЭК от 28 апреля 2016 г. N 240/24/1986 "Об утверждении требований к межсетевым экранам" прямо сказано, что "межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям". Все бы ничего, но тут мы сталкиваемся с реальностью, которая далеко от того, что думали во ФСТЭК, выпуская свои требования. А реальность такова, что органы по аттестации отказываются аттестовывать системы, в которых используются МСЭ с действующим сертификатом, но выданным по старым требованиям. Мотивируют они это тем, что ввиду отсутствия четкой и явной позиции регулятора рисковать своей лицензией и правом проводить аттестации они не готовы.
Учитывая, что на момент написания этой заметки в России только один МСЭ был сертифицирован по новым требованиям, а денег на покупку новых МСЭ или сертификацию имеющихся никто в бюджет не закладывал, то ситуация складывая тупиковая. И что делать пока непонятно. Я в начале декабря звонил во ФСТЭК с просьбой прокомментировать ситуацию и мне ответили, что волноваться не надо, что соответствующее информационное сообщение готовится и скоро все наладится. Но вот прошло уже почти полтора месяца, а воз и ныне там.
И судя по активности в социальных сетях многие госорганы и муниципалы уже начинают задавать неприятные вопросы и чуть ли не обвинять регулятора в лоббировании интересов единственного "доверенного" поставщика. Я не настолько наивен, чтобы подозревать такое, но проблема явно требует участия регулятора. И проблема не рассосется сама собой, так как есть немалое количество продуктов, которые производители не планируют повторно сертифицировать по новым требованиям, так они выпустили уже новые версии своих решений и активно продвигают их. Аттестационные компании же выжидают - либо явно отказывая клиентам в аттестации, либо предлагая выдавать аттестат со сроком действия равным сроку действия сертификата на МСЭ, что не устраивает заказчиков, которые не готовы потом повторно платить за аттестацию.
А ФСТЭК все молчит...
Алексей, приветствую!
ОтветитьУдалитьА если вот такую позицию рассмотреть:
Аттестация проводится на соответствие требованиям нормативно-правовых актов, в частности - требований приказа ФСТЭК №17/21, в актуальной редакции упоминаются новые профили, но есть явные ссылки на классы по РД МЭ. С такой позиции возможно аттестовать информационные системы с применением МЭ, сертифицированных по классам РД МЭ, но возникает сложность аттестации информационных систем с применением МЭ, сертифицированных по новым требованиям, но не сертифицированных по старым, так?
Проблема явно надуманная и заставляет усомниться в компетентности таких органов. Есть СЗИ, оно имеет действующий сертификат. В ходе аттестации именно в этом и нужно убедиться, остальное - выдумки.
ОтветитьУдалитьТакая же история была когда-то с антивирусами, которые до 2012 г сертифицировались по ТУ. По истечении сроков действия сертификатов их меняли, вот и все.
см. п. 26 17 Приказа ФСТЭК, там нужно для ГИС К1, К2, К3 применять МЭ не ниже 3 класса, где тут сказано, что надо МЭ по новым требованиям ФСТЭК, а?
ОтветитьУдалитьФСТЭК ни 17, ни 21 Приказы не поменяла, а там указаны МЭ по старым требованиям...
Так что на ровном месте органы аттестующие создали для себя проблему заработать денег.
Такое ощущение, что во ФСТЭК новый принцип межсетевого экранирования придумали... Действительно, почему нельзя детализировать функционал и позволить операторам самим принимать решение подходит ли подтверждённый функционал под новые требования. И сделать модель наследования, в случае изменения требований к СЗИ.
ОтветитьУдалитьTomas - в феврале, если все пойдет нормально, выйдет новая версия 17-го приказа с учетом уже новых классов защиты
ОтветитьУдалитьАндрей Коненков: такое было раньше, в первом четверокнижии. Это очень неудобно
ОтветитьУдалитьАлексей, имхо, в 17 Приказе вообще не должно быть п.26 (кроме НДВ), потому что в приложении указано уже все требуемое для каждого из УЗ, к чему это еще: УЗ3 - будь любезен МЭ-3,СВТ-5... Это в РД к МЭ\СВТ должно быть написано какой класс для чего.
ОтветитьУдалитьА поподробнее про изменения... :)