ФСТЭК опубликовала проект приказа, вносящего поправки в свои 21-й и 31-й приказы по защите информационных систем персональных данных и АСУ ТП соответственно. Об этих изменениях говорилось на конференции ФСТЭК и вот теперь они опубликованы в виде проекта, который врядли будет отличаться от своей финальной версии.
Итак, что же говорит новая редакция 31-го приказа? Вместо следующей схемы применения сертифицированных средств защиты информации (если это необходимо):
предлагается вот такая схема. По сути поменялось мало что - ФСТЭК всех приводит к единому знаменателю.
С 21-м приказом ситуация схожая. Было сложно (есть Интернет или нет, какие угрозы актуальны...):
Единственное, что добавится в 21/31-й приказ, это следующая формулировка: "В автоматизированных системах управления [информационных системах] могут применяться средства защиты информации, сертифицированные на соответствие требованиям по безопасности информации, указанным в технических условиях (заданиях по безопасности). При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований". Тоже понятный пассаж - кроме требований на промышленные МСЭ больше у нас ничего для АСУ ТП нет (РД на промышленные антивирусы только пишется) и поэтому логично, что ФСТЭК прямо разрешает сертификацию на ТУ или ЗБ. Ситуация с ИСПДн чуть лучше, но и там тоже рынок сертифицированных продуктов далек от идеала. Ни продуктов отечественных нет под все требования 17-го приказа, ни требований на сертификацию (их всего 6 пока + СВТ). Раньше ФСТЭК заявляла, что не приветствует сертификацию по ТУ/ЗБ и всех будет переводить на РД. Но пока не успевает.
И опять же помним, что сертификация средств защиты по 21/31-му приказам нужна только в тех случаях, когда оператор/владелец ИСПДн/АСУ ТП сам этого захотел - обязанности сертифицировать средства защиты для ИСПДн/АСУ ТП нигде не установлено (только оценка соответствия в установленном порядке).
Итак, что же говорит новая редакция 31-го приказа? Вместо следующей схемы применения сертифицированных средств защиты информации (если это необходимо):
предлагается вот такая схема. По сути поменялось мало что - ФСТЭК всех приводит к единому знаменателю.
С 21-м приказом ситуация схожая. Было сложно (есть Интернет или нет, какие угрозы актуальны...):
Стало:
Единственное, что добавится в 21/31-й приказ, это следующая формулировка: "В автоматизированных системах управления [информационных системах] могут применяться средства защиты информации, сертифицированные на соответствие требованиям по безопасности информации, указанным в технических условиях (заданиях по безопасности). При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований". Тоже понятный пассаж - кроме требований на промышленные МСЭ больше у нас ничего для АСУ ТП нет (РД на промышленные антивирусы только пишется) и поэтому логично, что ФСТЭК прямо разрешает сертификацию на ТУ или ЗБ. Ситуация с ИСПДн чуть лучше, но и там тоже рынок сертифицированных продуктов далек от идеала. Ни продуктов отечественных нет под все требования 17-го приказа, ни требований на сертификацию (их всего 6 пока + СВТ). Раньше ФСТЭК заявляла, что не приветствует сертификацию по ТУ/ЗБ и всех будет переводить на РД. Но пока не успевает.
И опять же помним, что сертификация средств защиты по 21/31-му приказам нужна только в тех случаях, когда оператор/владелец ИСПДн/АСУ ТП сам этого захотел - обязанности сертифицировать средства защиты для ИСПДн/АСУ ТП нигде не установлено (только оценка соответствия в установленном порядке).
Насколько я помню, ранее утверждалось, что СЗИ, прошедшие в установленном порядке оценку соответствия, в ИСПДн должны использоваться только, если актуальны угрозы, которые только такими средствами могут быть нейтрализованы. Разве изменения в 21 Приказе это отменяют?
ОтветитьУдалитьНет. Только причем тут сертификация и оценка соответствия? Это не равнозначные понятия
ОтветитьУдалитьДа, конечно. Просто по последнему абзацу поста складывается впечатление, что сертификация не обязательна, а вот оценка соответствия - наоборот. В связи с тем, что раньше Вами озвучивалась другая позиция, а пост посвящен изменениям в Приказах 21 и 31, и возник вопрос об изменении обязательности и необязательности использования СЗИ, прошедших оценку соответствия.
ОтветитьУдалитьНе совсем так. Я никогда не говорил о необязательности оценки соответствия. Наоборот. Она предусмотрена законом, в отличие от обязательной сертификации. Вот последняя как раз необязательна.
ОтветитьУдалить