Часть 2.Положение о сертификации ФСТЭК России. Что несет нам «ветер перемен»?

          
       

      
      Начало: https://valerykomarov.blogspot.com/2018/03/blog-post_14.html

      Продолжение анализа  Проекта приказа ФСТЭК России «Об утверждении Положения о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации» http://regulation.gov.ru/projects#npa=78950

Часть.2 Что же не устраивает ФСТЭК?

3. Описание проблемы, на решение которой направлен предлагаемый способ регулирования, оценка негативных эффектов, возникающих в связи с наличием рассматриваемой проблемы

3.1.

Описание проблемы, на решение которой направлен предлагаемый способ регулирования, условий и факторов ее существования: необходимость совершенствования порядка сертификации продукции, используемой в целях защиты информации, составляющей государственную тайну и иной информации, подлежащей защите в соответствии с законодательством Российской Федерации, в связи с тем, что действующее Положение по сертификации средств защиты информации не содержит детального описания порядка сертификации продукции

3.5.	Источники данных: постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 "О сертификации средств защиты информации" (место для текстового описания)

Вопрос: ФСТЭК не в курсе существования «Положение о сертификации средств защиты информации по требованиям безопасности информации» (утв. Приказом Гостехкомиссии РФ от 27.10.1995 № 199)?

https://fstec.ru/normotvorcheskaya/sertifikatsiya/119-polozheniya/395-polozhenie-ot-27-oktyabrya-1995-g-n-199 

Которое было выпущено как раз для детализации ПП608, причем в рамках п.2, на который ссылается ФСТЭК сейчас:

.5.

Основание для разработки проекта акта: подпункт 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, пункт 2 постановления Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации», пунктом 9 Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденным постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330 (место для текстового описания

Более того, п.2 ПП 608 требует от ФСТЭК не только Положение разработать, но и «перечни средств защиты информации, подлежащих сертификации в конкретной системе сертификации», что было реализовано Положением от 1995 года (Приложение 1), но отсутствует в проекте нового Положения в виде отдельного Приложения (есть только очень общие упоминания в п.2 Положения).

Вопрос: Если Приказ ФСТЭК разработан в рамках ПП 608, то почему появился новый термин «продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации»?

Постановление Правительства РФ от 26.06.1995 № 608 (ред. от 21.04.2010) «О сертификации средств защиты информации»

1. Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом.

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.

Видимо разница в том, что одни изначально разработаны и предназначены для защиты информации, а другие разрабатывались для других целей, но пользователь решил их использовать для защиты информации?

Выводы:

С учетом отсутствия в проекте Приказа упоминаний о Приказе № 199 от 27.10.1995, получается, что у нас будет 2 отдельных Положения о сертификации?

1.     Для сертификации встроенного функционала защиты информации в прикладном ПО.

2.     Для сертификации средств защиты информации, как отдельных средств защиты информации, не несущих решений прикладных задач.

Продолжение следует….


* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite