Блог о нюансах и особенностях законодательства в области информационной безопасности
Страницы
▼
пятница, 30 марта 2018 г.
четверг, 29 марта 2018 г.
Так менялся 239 Приказ ФСТЭК
08.12.2017 на http://regulation.gov.ru/projects#npa=76118 для общественного обсуждения опубликован проект приказа ФСТЭК «Об утверждении Требований по
обеспечению безопасности значимых объектов критической информационной
инфраструктуры Российской Федерации».
27.12.2017 на http://regulation.gov.ru/projects#npa=76118 опубликован доработанный
по итогам общественного обсуждения проект приказа
ФСТЭК «Об утверждении Требований по обеспечению безопасности значимых объектов
критической информационной инфраструктуры Российской Федерации».
27.03.2018 официально опубликован приказ ФСТЭК
от 25.12.2017 № 239 «Об утверждении
Требований по обеспечению безопасности значимых объектов критической
информационной инфраструктуры Российской Федерации» (Зарегистрирован
26.03.2018 № 50524)
среда, 28 марта 2018 г.
Сводка предложений по итогам общественного обсуждения проекта сертификации ФСТЭК
По запросу в комментариях к https://valerykomarov.blogspot.com/2018/03/blog-post_27.html
Сводка
предложений по итогам общественного обсуждения проекта нормативного правового
акта
Наименование проекта:
Проект приказа ФСТЭК России «Об утверждении Положения о сертификации продукции,
используемой в целях защиты сведений, составляющих государственную тайну или
относимых к охраняемой в соответствии с законодательством Российской Федерации
иной информации ограниченного доступа по требованиям безопасности информации»;
ID проекта: №
02/08/03-18/00078950
Даты проведения
общественного обсуждения: 07.03.2018 – 22.03.2018
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite
№
|
Предложения
участника общественного обсуждения
|
Результат
рассмотрения разработчиком позиций участников общественного обсуждения
|
Комментарии
разработчика
|
1
|
"2.
Настоящее Положение определяет организацию и порядок сертификации следующей продукции,
используемой в целях защиты сведений, составляющих государственную тайну или
относимых к охраняемой в соответствии с законодательством Российской
Федерации иной информации ограниченного доступа, продукции, сведения о
которой составляют государственную тайну.
Судя по вышеизложенному тексту
"относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну" окончание предложения должно быть "сведения о которой не составляют государственную тайну". |
Отклоняется
|
Наименование
продукции соответствует статье 5 Федерального закона от 27 декабря 2002
г. 184-ФЗ «О техническом регулировании»
|
2
|
"средств
обеспечения безопасности информационных технологий, включая защищенные
средства обработки информации"
Возможно,
стоит указать ссылку на документ, определяющий терминологию, так как различия
в терминах "средств технической защиты информации" и "средств
обеспечения безопасности информационных технологий" не ясны в смысле
того, что "средства обеспечения безопасности ИТ", очевидно,
являются подмножеством "средств технической защиты информации".
Но,
раз указаны отдельным пунктом, значит не являются подмножеством предыдущего
пункта. Пункт требует пояснений в виде ссылок на нормативные документы для
облегчения интерпретации терминов (или разъяснения терминов в тексте).
|
Отклоняется
|
Приведенные
наименования продукции соответствуют Положению о Федеральной службе по
техническому и экспортному контролю, утвержденному Указом Президента
Российской Федерации от 16 августа 20014 г. № 1085.
Средства
обеспечения безопасности информационных технологий не являются подмножеством
средств технической защиты информации, не реализуют функций по безопасности
информации, но вместе с тем подлежат сертификации в соответствии с
законодательством Российской Федерации.
Какая
продукция относится к средствам обеспечения безопасности информационных
технологий будет приведено в в Перечне продукции, используемой в целях защиты сведений,
составляющих государственную тайну или относимых к охраняемой в соответствии
с законодательством Российской Федерации иной информации ограниченного
доступа, и продукции, сведения о которой составляют государственную тайну
|
3
|
Статья
"3. Настоящее Положение распространяется на лиц, претендующих на получение сертификата соответствия продукции требованиям безопасности информации (далее – сертификат соответствия) или получивших сертификат соответствия (далее - заявители)" слишком сложен. По тексту сложно понять, что под "заявителями" понимаются и лица, претендующие на получение сертификата соответствия, и его получившие, так как их разделяет введение термина "сертификат соответствия". Возможно, стоит переформулировать, например, так: "Настоящее Положение распространяется на лиц (далее - заявители), претендующих на получение или получивших сертификат соответствия продукции требованиям безопасности информации (далее – сертификат соответствия |
Отклоняется
|
|
4
|
Пункт
"информируют ФСТЭК России о несоответствии продукции требованиям безопасности информации;" Других лиц они не информируют? Заявителей, потребителей? Например, в случае отзыва сертификата? Кто предоставляет достоверную информацию о сертификатах для потребителей? Продавец это делать явно не может, так как у него конфликт интересов и он может намеренно искажать информацию, указанную в сертификате или предоставлять её не полностью (например, не предоставлять список ОС, под которых проходило сертификацию СЗИ). |
Отклоняется
|
В
пункте 6 перечислены функции, которые реализует орган по сертификации при
проведении сертификации продукции, то есть когда продукция не сертифицирована
и потребителей такой продукции еще не существует. В этом же пункте приведена
следующая функция органа по сертификации: «представляют заявителям и испытательным лабораториям необходимую
информацию о сертификации продукции в пределах своей компетенции».
Кроме
того, пунктом 51 Положения предусмотрено направление экспертного заключения,
оформляемого органом по сертификации, заявителю.
Информацию
о сертификате соответствия предоставляет заявитель, а проверить данную
информацию можно в Государственном реестре сертифицированных средств защиты
информации или обратившись в ФСТЭК России.
|
5
|
Пункт
"представляют заявителям и испытательным лабораториям необходимую
информацию о сертификации продукции в пределах своей компетенции;"
кажется не совсем логичным.
Словосочетание "предоставляют информацию о сертификации продукции" читается как "предоставляют информацию о выданных сертификатах". В то время, как, видимо, подразумевается информация о процессе сертификации. Возможно, стоит как-то переформулировать для большей конкретизации и общности. |
Отклоняется
|
|
6
|
Пункт
"обеспечивают защиту информации, предоставленной заявителем при
сертификации продукции в рамках системы менеджмента информационной
безопасности.
" Кажется, пропущена запятая после слова "продукции". |
Принимается
|
|
7
|
Там
же. Возможно, стоит наложить на органы сертификации и испытательные
лаборатории требования о заключении договора о конкретных методах защиты
информации с заявителем.
|
Отклоняется
|
Заключение
договоров предусмотрено Положением. В договорах могут быть в том числе
определены конкретные меры защиты информации, обладателем которой является
заявитель. Требования о защите информации ограниченного доступа, установлены
ФСТЭК России
|
8
|
Там
же. Указание на систему менеджемента качества не ясно. Предполагается, что
она есть, но нет никаких явных требований к сертификаии соответствующих лиц
по наличию системы менеджемнта ИБ или, хотя бы, декларации её наличия.
Возможно, нужна ссылка на документ, обязывающий к сертификации по стандартам
ISO 27000, если он имеется. Если нет, то требования к наличию системы
менеджемнта ИБ необходимо явно прописать или убрать.
|
Отклоняется
|
В органах по
сертификации и испытательных лабораториях создаются системы менеджмента
качества и менеджмента информационной безопасности в соответствии с Правилами выполнения отдельных работ по
аккредитации органов по сертификации и испытательных лабораторий, выполняющих
работы по оценке (подтверждению) соответствия в отношении продукции (работ,
услуг), используемой в целях защиты сведений, составляющих государственную
тайну или относимых к охраняемой в соответствии с законодательством
Российской Федерации иной информации ограниченного доступа, и продукции
(работ, услуг), сведения о которой составляют государственную тайну, в
установленной ФСТЭК России сфере деятельности, утвержденными приказом ФСТЭК
России от 10 апреля 2015 г. № 33.
Наличие указанных систем проверяется ФСТЭК России при проведении
аккредитации органов по сертификации и испытательных лаборатории.
|
9
|
Статья
«8. Заявителями могут являться следующие лица: лицо, занимающееся разработкой
и производством продукции; лицо, занимающееся производством продукции;
потребитель» сформулированна, как мне
кажется, неверно. Так, лицо, не занимающееся производством продукции, но
занимающееся её разработкой необоснованно лишено права на сертификацию.
|
Принимается
|
Разработчик
продукции, не являющийся ее производителем, сможет являться заявителем.
|
10
|
Там
же. Кроме этого, не ясно, что является производством продукции, которая
является программной системой (тиражирование и распространение является
производством или нет?).
|
Отклоняется
|
Производство - все операции и виды
контроля, связанные с получением, приемкой и обработкой исходных материалов,
упаковкой, реализацией, хранением и отгрузкой продукции (ГОСТ Р 56639-2015. Технологическое
проектирование промышленных предприятий. Общие требования)
Производитель программной продукции
может заниматься ее тиражированием и распространением.
|
11
|
Там
же. Не ясно также, почему распространитель продукции (например, иностранной)
не может являться заявителем.
|
Отклоняется
|
Так
как распространитель не сможет обеспечить соответствие сертифицированной
продукции требованиям безопасности информации.
|
12
|
Там
же. Фактически, документ устанавливает необоснованные ограничения на круг
заявителей. Так, например, он лишает ассоциации организаций, представителей,
диллеров и т.п. на возможность стать заявителем.
|
Отклоняется
|
Положение
не устанавливает дополнительных ограничений на круг заявителей,
предусмотренный Положением о сертификации средств защиты информации,
утвержденным постановлением Правительства Российской Федерации от 26 июня
1995 г. № 608.
|
13
|
Там
же. В документе определено, что потребитель продукции - лицо, эксплуатирующее
СЗИ.
То есть лица, желающие приобрести эту продукцию после сертификации, но не эксплуатирующие её до сертификации, не являются потребителями. Что необоснованно лишает потенциальных потребителей возможности участвовать в сертификации данной продукции. Напомню, что требования нормативных правовых актов трактуются буквально, а не так, как это подразумевает разработчик документа, поэтому необходимо более аккуратная формулировка (см. пункт 14). |
Отклоняется
|
Положением
предусмотрено, что потребитель продукции может являться заявителем. А в
пункте 14 идет речь о потребителе, не являющимся заявителем.
|
14
|
Там
же. Как мне кажется, круг заявителей должен быть ограничен только лицами,
имеющими лицензию ФСТЭК на ТЗКИ по любому подвиду деятельности, без других
ограничений. Нет никаких оснований отказывать другим лицам в праве быть
заявителем.
Возможно, стоит добавить лишь ограничения на то, что если заявитель не является разработчиком, производителем или распространителем СЗИ, то он может быть заявителем с разрешения разработчика или производителя. |
Отклоняется
|
Пунктом
19 Положения предусмотрено, что к заявке на сертификацию продукции
прилагается договор (соглашение) с лицом, обладающим
исключительными правами на продукцию, дающий права сертификации продукции,
эксплуатации или производства продукции, а также технической поддержки
продукции (в случае когда заявитель не обладает такими правами)
|
15
|
В
том же пункте строка "осуществляют подготовку продукции к сертификации,
разрабатывают необходимую конструкторскую и (или) программную документацию, а
также эксплуатационную документацию, содержащую необходимые сведения о
продукции"
Не ясны причины ограничения, почему это должен делать именно заявитель? Ведь заявитель может заплатить деньги другому лицу для этого или такая документация уже может быть в наличии. У заявителя в виде потребителя может просто не быть квалифицированного персонала для этого. Возможно, стоит дополнить словами "или передаёт исполнение этих обязанностей другому лицу на коммерческой основе" |
Принимается
|
В редакции: «осуществляют подготовку продукции к
сертификации, подготавливаю (разрабатывают) необходимую конструкторскую и
(или) программную документацию, а также эксплуатационную документацию,
содержащую необходимые сведения о продукции.
|
16
|
Там
же. Слова "эксплуатационную документацию" следует дополнить словами
"на русском языке" или чем-то аналогичным ("в соответствии со
стандартами РФ", "методикой сертификационных испытаний" и
т.п.).
|
Принимается
|
В
18 пункте Положения будет учтено.
|
17
|
Слова
"и организуют ее техническую поддержку"
ограничивают заявителя в передаче технической поддержки другим лицам. В частности, разработчику. Как мне кажется, это не обоснованно. Хотя логично, что если заявитель является производителем, то он сам будет поддерживать сертифицированную продукцию, в то же время, ограничивать заявителя в том, что он должен делать это сам не следует. Возможно, стоит дополнить словами "или передаёт исполнение этих обязанностей другому лицу на коммерческой основе" |
Отклоняется
|
Техническую
поддержку должен осуществлять заявитель, так как только он отвечает за
соответствие продукции требованиям безопасности информации.
|
18
|
Слова
"необходимые для проведения сертификации,"
возможно, стоит заменить на "достаточные для проведения сертификации", а так же дополнить "обеспечивают безопасносное нахождение на объектах заявителя указанных специалистов" |
Отклоняется
|
|
19
|
Слова
"производят и реализуют сертифицированную продукцию" вводят
необоснованные ограничения на реализацию продукции только силами одного лица
- заявителя. Лишая его возможности использовать другие организации. Это
серьёзное и необоснованное ограничение прав производителя.
Возможно, стоит, всё-таки, разделить обязанности заявителя и других лиц, введя дополнительные роли лица - разработчика документации, лица - организатора технической поддержки, лица - распространителя, лица - производителя, лица - [первичного] разработчика и лица - разработчика сертифицированной версии. |
Отклоняется
|
Положение
не вводит ограничений, указанных в замечании.
|
20
|
Слова
"при обнаружении несоответствия сертифицированной продукции требованиям
безопасности информации информируют ФСТЭК России и осуществляют устранение
недостатков продукции;" необоснованно лишают возможности потребителей и
распространителей продукции знать о недостатках продукции. Возможно, стоит
заменить на
"при обнаружении несоответствия сертифицированной продукции требованиям безопасности информации незамедлительно информируют об этом ФСТЭК России, производителей и потребителей сертифицированной продукции и осуществляют устранение недостатков продукции;" |
Отклоняется
|
Пункт
8 Положения не ограничивает указанных в замечании прав заявителя.
|
21
|
Слова
"Разработчик продукции, зарегистрированный в качестве юридического лица
в Российской Федерации,"
возможно стоит заменить на "Разработчик продукции, зарегистрированный в качестве юридического лица или индивидуального предпринимателя в Российской Федерации," т.к. индивидуальные предприниматели также имеют право на разработку СЗИ, насколько я помню. Аналогичные фрагменты есть ниже. |
Принимается
|
|
22
|
Хотя
в обязанности заявителя входит
"обеспечивают соответствие сертифицированной продукции требованиям безопасности информации, осуществляют поиск, анализ и устранение уязвимостей и недекларированных возможностей в программном обеспечении сертифицированной продукции " в то же время, мне кажется, данный текст несколько нелогичен по следующим обстоятельствам.
У
заявителя имеется конфликт интересов между распространением продукции в
неизменном виде (без её изменения и пересертификации) и осуществлением работы
над уязвимостями в СЗИ.
Соответственно, логично наложить на заявителя обязанность как осуществлять данную работу самостоятельно, так и выносить данную работу по договору на аутсорсинг в обязательном порядке.
Сертификации
СЗИ никогда не является верификацией функций СЗИ. То есть сертификация не
гарантирует отсутствия уязвимостей в ПО.
Таким образом, одним из путей получения информации об уязвимостях являются участие в расследованиях инцидентов ИБ и получение информации об уязвимостях от третьих лиц. В связи с конфликтом интересов, указанным выше, заявитель может быть недостаточно заинтересован в использовании этих каналов. В связи с чем необходимо предусмотреть порядок приёма сообщений об уязвимостях как от третьих лиц, так и при участии в расследовании инцидентов ИБ. В любом случае, заявителя необходимо обязать участвовать в расследовании инцидентов ИБ и приёме сообщений об уязвимостях на русском языке. В идеале, обязать участвовать в программе вознаграждений за уязвимости (и НДВ) с арбитром в виде третьего лица или органа сертификации.
Устранение
уязвимостей и НДВ - не единственное, что должен делать разработчик ПО. По
сути, требуется более широкая формулировка вида "а также выявляет и
устраняет другие дефекты СЗИ, если не доказано, что они не влияют на
соответствие СЗИ требованиям безопасности информации".
Это связано с тем, что уязвимость - это свойство системы, которое может быть использовано нарушителем для реализации угрозы. Однако, при разработке СЗИ с помощью концепции многоэшелонированной обороны часто дефекты в одном эшелоне перекрываются другими эшелонами защиты. В итоге данные дефекты не являются эксплуатируемыми уязвимостями или их эксплуатируемость не доказана. Указанная выше общая формулировка могла бы предотвратить споры по дефектам, которые формально не являются уязвимостями. |
Отклоняется
|
Заявитель
также заинтересован в качестве своей продукции, в ее соответствии требованиям
безопасности информации. Качественную продукцию будут приобретать в большем
количестве.
В
пункте 8 перечислены функции, которые выполняет заявитель. Данный пункт не
ограничивает его возможности по привлечению организации, которая будет
осуществлять тестирование продукции.
Заявитель
и так привлекает испытательную лабораторию для проведения сертификационных
испытаний, в том числе испытаний, направленных на выявление несоответствий
требованиям безопасности информации, уязвимостей и недекларированных
возможностей.
Процедура
организации работы по выявлению уязвимостей, приведенная в замечании, не
может являться общей для каждого заявителя. Данная процедура не является
предметом настоящего положения.
|
23
|
Слова
"своевременно применяют обновления " не являются строгой технической формулировкой, устанавливающей сроки применения обновлений. |
Отклоняется
|
В
пункте 9 Положения приведены функции, выполняемые потребителем, а не порядок
обновления программного обеспечения в информационной системе.
|
24
|
Распространитель
СЗИ не наделён обязанностями раскрывать потенциальным потребителям
сертифицированные функции СЗИ и информацию об их ограничениях.
Однако, потенциальному потребителю это крайне необходимо для оценки способности СЗИ удовлетворить его нужды. Необходимо установить для заявителя или других лиц требования о полном раскрытии информации из сертификата (включая формуляры и любые другие связанные с сертификатом документы) и полном раскрытии информации об эксплутационных ограничениях и уточнении этих ограничений в случае неясностей (например, раньше выдавали сертификаты с текстом по типу "сертифицированно ... по Windows NT", так что было неясно, под какими именно ОС было сертифицированно ПО). |
Принимается
|
Добавлена функция заявителя:
«осуществляют реализацию продукции в
комплектации, соответствующей комплектации экземпляров продукции, прошедших
сертификацию, обеспечивают доведение до потребителей информации об условиях и
ограничениях по применению продукции, а также копии сертификата соответствия;»
|
25
|
Слова "10.
Сертификация продукции осуществляется на соответствие требованиям
безопасности информации, установленным нормативными правовыми актами ФСТЭК
России или изложенным в технических условиях (задании по безопасности),
согласованных ФСТЭК России." лишают возможности сертификации на
соответствие профилю защиты по ISO 15408. Это сделанно намеренно? Если нет,
то необходимо сделать формулировку более понятной (например, в скобках
дополнить словами "профилю защиты по ГОСТ ИСО 15480").
|
Отклоняется
|
В
соответствии с законодательством сертификация продукции может осуществляться
только на соответствие требованиям, установленным ФСТЭК России.
Если
профиль защиты утвержден ФСТЭК России, то такая сертификация возможна.
Например, профили защиты к операционным системам, межсетевым экранам и иной
продукции, утвержденные ФСТЭК России.
|
26
|
Слова
"Сертификация единичных экземпляров продукции и партии продукции
организуется заявителем, эксплуатирующим продукцию и не являющимся
производителем, в случае когда отсутствует аналогичная серийно производимая
сертифицированная продукция" не ясны. Под словом "аналогичная"
понимается "идентичная"? Или, фактически, Положение о сертификации
вводит норму, что нельзя сертифицировать единичные экземпляры если есть
серийные аналоги, пусть и не идентичные.
Если первое, то слово "аналогичная" следует заменить на "идентичная". Если второе, то непонятно, что считать "аналогом" и какие основания для таких ограничений видит ФСТЭК. Предприятие, производящее сертификацию единичного экземпляра может просто не доверять производителю серийного экземпляра. |
Принимается
|
Слово
«аналогичная» заменено на «идентичная».
|
27
|
Выше
в положении установлено, что заявителем может быть только одно лицо. Однако,
это создаёт неясность текста при его буквальном прочтении.
Например, что делать, если серийное средство сертифицированно по одному классу защиты, а потребитель хочет получить сертификат на более высокий класс защиты (на который нужно провести более дорогостоящие испытания, которые просто не были произведены, либо для которых нужно предоставить исходные тексты ПО, которые были предоставлены разработчиком уже после первоначальной сертификации)? При буквальном прочтении получается, что такое не разрешено. Аналогично, возникают вопросы к сертификации продукции от разных производителей как в варианте сертификации серийного производства (так как сертификация производится, по сути, вместе с производителем), так и для сертификации разных партий продукции. Возможно, стоит переформулировать требование к тому, что заявителем может быть только одно лицо для исключения неверных трактовок текста. |
Отклоняется
|
Необходимо
учитывать введенное в пункте 3 Положения сокращение.
|
28
|
Слова
"Потребитель, не являющийся заявителем, может эксплуатировать продукцию
вне зависимости от срока действия сертификата соответствия"
необоснованно ограничивают возможности потребителя, являющегося заявителем.
Ведь технически потребитель-заявитель и потребитель-не заявитель не
различаются. То есть возможность на эксплуатацию продукции после истечения
срока сертификата должна применяться в равной степени и к потребителю и к
потребителю-заявителю в части той продукции, что внедрена во время срока
действия сертификации.
|
Отклоняется
|
Различаются.
Потребитель, не являющейся заявителем, не отвечает за техническую поддержку
продукции.
|
29
|
"13.
Срок действия сертификата соответствия - 5 лет."
В связи с тем, что в статье 14 указано, что потребитель может эксплуатировать СЗИ после срока истечения сертификата, фактически, данный срок действия не обоснован. 29.1. Фактически, срок действия сертификата является сроком распространения продукции для сертификации серийного производства, а сами СЗИ могут применяться более длительное время. Это означает, что только распространение продукции будет происходить на протяжении 5-ти лет после сертификации. Фактически, для СЗИ, состоящим только из ПО без аппаратной части и функционирующими на базе сторонних операционных систем, это большой срок, за который сама ОС успевает сильно измениться. Разработчики операционных систем за 3 года успевают серьёзно изменить операционные системы с потерей прямой совместимости части приложений иногда даже в рамках ОС с одним названием. Например, в Windows XP в SP2 (сервис пак 2, то есть просто набор обновлений) была удалена возможность отсылки вручную (не операционной системой) сформированных TCP/IP-пакетов (в SP3, кажется, восстановлена). При этом, использование операционных систем без обновлений является небезопасным. Это означает, что срок действия сертификата для таких СЗИ (состоящих только из ПО и функционирующих на базе сторонних операционных систем) не должен быть выше 2-3 лет, так как за это время базовая ОС может так уйти по параметрам, что эксплуатация СЗИ станет уже небезопасной. Аналогично, часто функции СЗИ также меняются, в результате чего они могут уйти далеко за рамки первоначальных независимых испытаний и получить дефекты (даже уже проверенные функции). |
Отклоняется
|
Срок
действия сертификата соответствия соответствует Положению о сертификации
средств защиты информации, утвержденному постановлением Правительства
Российской Федерации от 26 июня 1995 г. № 608.
Кроме
того, заявитель может обратиться за получением сертификата соответствия на
меньший срок и по своему желанию прекратить срок его действия.
|
30
|
Сертификат
на партию продукции также довольно странно выдавать на 5 лет. Скорее всего,
речь идёт о партии продукции для одного клиента или для какого-то особого
назначения. Вряд ли заявитель будет продавать её в течении целых 5-ти лет. За
это время программная часть может устареть, а аппаратура выйти из строя
(потерять параметры) в результате течения естественных процессов старения,
ПЗУ, содержащие ПО, также могут выйти из строя.
|
Отклоняется
|
См.
предыдущий комментарий.
Заявитель
в данном случае в течение 5 лет будет эксплуатировать продукцию, организовывая
её техническую поддержку и соответствие требованиям безопасности информации.
|
31
|
У
производителя сертифицированного ПО не указана обязанность хранить в
надлежащем виде и обеспечивать сохранность СЗИ, сертифицированного в составе
партии. За 5 лет действия сертификата может много чего с ним случится.
|
Отклоняется
|
Нет
необходимости хранить экземпляры продукции, прошедшей сертификационные
испытания.
|
32
|
Слова
"Органы по сертификации, испытательные лаборатории и заявители обязаны
обеспечивать защиту информации ограниченного доступа" не верны.
Органы по сертификации и т.п. должны обеспечивать защиту всей информации. Например, от несанкционированного изменения или утери. А защиту конфиденциальности обеспечивать дополнительно для информации ограниченного доступа. |
Отклоняется
|
Органы
по сертификации, испытательные лаборатории и заявители обязаны обеспечивать
защиту только информации ограниченного доступа. Кроме того, органы по сертификации и испытательные
лаборатории обязаны обеспечивать защиту информации, обладателем которой
является заявитель.
|
33
|
Слова
"испытательной лабораторией должны быть заключены соответствующие
соглашения о неразглашении информации."
возможно, стоит скорректировать. Так как "неразглашение" и защита - разные вещи. Например, "заключены соглашения о неразглашении и защите информации" |
Принимается
|
|
34
|
Слова
"Заявитель определяет в соответствии с Перечнем продукции"не ясны.
Не дана ссылка на полное наименование переченя продукции, хотя это первое
употребление данного термина.
|
Принимается
|
|
35
|
Слова
"назначение продукции (степень секретности информации, категория объекта
информатизации, тип и класс защищенности информационной (автоматизированной)
системы)" непонятны. Как можно для серийного продукта указывать что-либо
о конкретной ИС или объекте информатизации?
Нормативные правовые акты понимаются в буквальном смысле слова. Если данная информация указывается только тогда, когда требование применимо, это необходимо писать явно. |
Отклоняется
|
Как
можно предъявлять на сертификацию продукцию не понимая, для каких целей она
предназначена? Продукция, которая не предназначена для целей защиты
информации, не может быть сертифицирована по требованиям безопасности
информации.
|
36
|
Слова
"наименование лица, обладающего исключительными правами на
продукцию"
возможно стоит дополнить словами "на территории РФ". Кроме этого, теоретически, таких лиц может быть много (исключительные права на распространение у одного лица (диллера), на владение и изменение исходного кода - у другого (разработчика); либо исключительные права на распространение могут быть разделены по регионам страны). Также лицо, обладающее исключительными правами может отсутствовать (для части лицензий на свободное ПО). |
Принимается
|
Учтено
в редакции: «наименование лица (лиц), обладающего
исключительными правами на продукцию, адрес его местонахождения (указывается
в случае его наличия)»;
|
37
|
"наименование
лица, разработавшего продукцию"
Может отсутствовать либо быть неизвестным наименование либо адрес (для свободного ПО). Необходимы пояснения в тексте документа, кто указывается в таком случае. Аналогично, при адаптации свободного ПО для сертификации, необходимо пояснить, что указывается в тексте заявки. Лицо, адаптировавшее данное ПО, либо лица, разработавшие данное ПО. |
Принимается
|
Учтено
в редакции: «наименование лица (лиц), разработавшего
продукцию, адрес (адреса) его местонахождения (адрес указывается при его
наличии);»
|
38
|
Слова
"номер контактного телефона и адрес электронной почты" явно
содержат ошибку. Не понятно, чей номер.
Если номер ответственного лица, то в случае его болезни или
увольнения, контакт может быть потерян.
Фактически, должны быть указаны несколько контактов. Например, общий
контакт организации и ответственного лица. Контактный номер должен быть на
территории РФ, однако такого требования явно не указано.
|
Принимается
|
Учтено
в редакции: «номер (номера) контактного телефона и адрес
(адреса) электронной почты заявителя;»
|
39
|
"два
экземпляра технических условий;" В документе нет ссылки на нормативный
правовой акт, устанавливающий термин "технические условия" (ГОСТ
2.102-2013). Термин не ясен.
|
Принимается
|
Учтено
в редакции: «два экземпляра
технических условий, разработанных с учетом
национального стандарта Российской Федерации ГОСТ 2.114 «Единая система
конструкторской документации. Технические условия»;
Также
учтено замечание в части задания по безопасности.
|
40
|
"18.
К заявке на сертификацию прилагаются следующие документы". Не предусмотрена передача документации в
цифровом виде. Не указано, каким
образом должны быть заверены экземпляры для удостоверения их подлинности. В
частности, прилагается копия или подлинник договора.
|
Принимается
частично
|
Передача
документов в цифровом виде не предусмотрена.
Предъявляется
копия договора. Учтено в редакции:
«копия договора (соглашения) с лицом (лицами),
обладающим исключительными правами на продукцию, дающий права сертификации
продукции, эксплуатации или производства продукции, а также технической
поддержки продукции (в случае когда существует лицо (лица), обладающее исключительными правами на
продукцию, и заявитель не обладает такими правами).»
|
41
|
"формуляр
(паспорт);" Требование не ясно (не содержится описания термина)
|
Принимается
|
Учтено
в редакции: «формуляр
(паспорт), разработанный
с учетом национальных стандартов ГОСТ 2.601
«Единая система конструкторской документации. Эксплуатационные документы» и
ГОСТ 2.610 «Единая система конструкторской документации. Правила выполнения
эксплуатационных документов»»
|
42
|
"производитель
или разработчик продукции не имеет соответствующей лицензии, предусмотренной
законодательством Российской Федерации"
Не предусмотрены явно варианты:
Лицо
находится за границей (и поэтому не имеет лицензии). Разработчик является физическим лицом, не
являющимся предпринимательствующим субъектом. Закон "Об отдельных видах
лицензионной деятельности" имеет сферы применения только лишь на
предпринимательствующие субъекты и органы гос. власти. Поэтому, если СЗИ
разработано физическими лицами, его сертификация также должна быть разрешена.
|
Отклоняется
|
Пунктом
8 Положения предусмотрено, кто должен иметь лицензии. Лицензия требуется
только в случаях, предусмотренных законодательством Российской Федерации.
|
43
|
"и
(или) её применение может создать дополнительные угрозы безопасности
информации"
Текст не ясен или неверен. Например, применение криптографического средства создаёт дополнительные угрозы безопасности (в виде вскрытия шифров, хищения ключей шифрования и т.п.). Хотя криптография не входит в компетенцию ФСТЭК, этот пример показывает, что необходимо более тщательно сформулировать пункт или указать на точное и формальное определение угрозы безопасности информации. |
Принимается
|
Изложено
в редакции: «по результатам анализа прилагаемой к заявке
документации установлено, что применение продукции не соответствует
требованиям по защите информации, установленным законодательством Российской
Федерации;»
|
44
|
"заявитель
заключает договора"
Верно "заявитель заключает договоры" |
Принимается
|
|
45
|
Слова
"по истечении 3 лет с даты принятия решения о проведении сертификации
продукции"
следует дополнить словами ", если сертификат соответствия не выдан" |
Отклоняется
|
Пунктом
28 Положения определено, что в случае выдачи сертификата соответствия решение
считается исполненным.
|
46
|
Создание
методики сертификации без её изменения в процессе сертификации может повлечь
за собой невозможность изменить методику в случае нахождения в ней ошибок.
|
Отклоняется
|
В
Положении нет таких ограничений.
|
47
|
Подробная
методика испытаний сложного ПО не может быть составлена до фактического
проведения испытаний, так как только при испытаниях выявляются особенности
работы ПО, которые, даже если и отражены в документации, не могут быть внятно
поняты специалистами по испытаниями.
Фактически, с моей точки зрения, должна быть предусмотрена возможность итеративного уточнения методики испытаний по проведённым испытаниям. То есть по результатам выполнения методики может быть принято решение о дополнении или изменении методики и проведении исследований заново. |
Отклоняется
|
В
Положении нет ограничений в части уточнения методик сертификационных
испытаний.
|
48
|
Порядком
сертификации не предусмотрено предоставление дополнительной документации,
исходных кодов, если необходимость этого выявлена в процессе испытаний или
при рассмотрении экземпляра. В некоторых ситуациях, убедится в том, что СЗИ
работает как надо, можно только при наличии исходных кодов ПО. Например, факт
того, что клиент-серверная система успешно препятствует работе
неавторизованного пользователя, должен опираться на наличие криптостойкого
аутентификационного тоукена. Однако, определить его криптостойкость
экспериментально невозможно или крайне затруднительно.
|
Отклоняется
|
Испытательная
лаборатория вправе запросить у заявителя документацию и сведения о продукции,
необходимые для проведения оценки ее соответствия требованиям безопасности
информации при реализации процедур, предусмотренных пунктами 37 и 46
Положения.
|
49
|
.
Порядком сертификации не предусмотрено изготовление испорченных или
специальных копий, если это требуется для установления фактов о работе СЗИ в
режимах, моделирующих ошибки подсистем. Например, в условиях функционирования
СЗИ, созданного по принципу многоэщелонированной обороны, для достоверных
испытаний необходимо отключать эшелоны защиты. Что должно быть невозможно
сделать на серийной копии устройства.
|
Отклоняется
|
Для
испытаний отбираются экземпляры продукции, соответствующие экземплярам,
предназначенным для реализации.
Если
это будет предусмотрено программой и методиками испытаний, то по согласованию
и совместно с заявителем в продукцию могут быть внесены соответствующие
изменения, позволяющие провести испытания.
|
50
|
"Повторные
сертификационные испытания продукции проводятся в объеме, необходимом для
проверки устранения выявленных при проведении сертификационных испытаний
несоответствий сертифицированной продукции требованиям безопасности
информации к продукции."
Так
как у сертификационной лаборатории нет исходных кодов ПО (есть только
программная документация), то лаборатория не может оценить степень изменения
продукта и, следовательно, наличие причинно-следственных связей и силу их
влияния на способность СЗИ к нормальной работе. То есть испытательная
лаборатория не способна (не имеет информации) о влияниях изменений на работу
СЗИ и, следовательно, должна проводить повторные испытания всегда в полном
объёме.
Кроме
этого, даже если исходные коды есть, влияния частей ПО друг на друга также
может быть сложно оцениваемым (в результате сбоев один модуль может изменить
данные другого модуля или даже исполнить неверную функцию). Аналогично, после
изменения в электронных компонентах, могут появится новые элекрические и
индуктивные связи либо измениться старые, что может повлечь за собой неверную
работу нового устройства в непредсказуемых заранее случаях. Что также говорит
о том, что повторные испытания должны быть проведены в полном объёме.
Аналогично в статье 70. |
Отклоняется
|
Только
в объеме, необходимом для проверки устранения выявленных при проведении
сертификационных испытаний несоответствий сертифицированной продукции
требованиям безопасности информации к продукции.
Объем
определяется исходя из объема доработки изделия. Программа и методики
повторных испытаний согласовываются с заявителем.
|
51
|
"согласованными
и утвержденными в печатном и электронном видах" Слова не ясны. Как можно
представить экземпляр в "печатном и электронном видах"? Необходимы
пояснения (экземпляр в бумажном виде и экземпляр в электронном виде).
|
Отклоняется
|
Какие
документы и в каком количестве должны быть представлены указано в пункте 47.
|
52
|
"48.
По результатам рассмотрения материалов сертификационных испытаний орган по
сертификации оформляет экспертное заключение, содержащее вывод о возможности
(невозможности) выдачи сертификата соответствия на продукцию"
Вывод
о возможности или невозможности выдачи сертификации делается, как следует из
текста Положения о сертификации, только на основании вывода из экспертного заключения,
так что сертифицирующий орган даёт ровно то заключение, которое даёт
испытательная лаборатория.
Зачем тогда нужен этот орган, если у него нет прав пересмотреть решение испытательной лаборатории? |
Отклоняется
|
В
техническом заключении испытательной лаборатории делается вывод о
соответствии (несоответствии) продукции требованиям безопасности информации,
а не о возможности (невозможности) выдачи сертификата соответствия.
В
соответствии с Положением орган по сертификации не только проводит экспертизу
представленных документов. Он принимает участие во всех процедурах
сертификации. В том числе, он утверждает программу и методики
сертификационных испытаний и присутствует при проведении сертификационных
испытаний продукции.
|
53
|
"выявлены
недостатки в продукции и в материалах по сертификации продукции"
Возможно, союз "и" лучше заменить на "или" или "и/или". |
Принимается
|
В
редакции: «и (или)».
|
54
|
Статьи
54 и 55 бессмысленны.
Так, не учтено то, что в течении 60 дней лица предоставляют во ФСТЭК доработанные материалы. Однако, обычно порядок направления любых официальных документов включает пересылку по почте, которая легко может занимать 10 дней. В то время как статья 55 указывает, что ФСТЭК принимает решение об отказе в течении 5 дней с истечения срока. Фактически, это несколько противоречит здравому смыслу, так как данные могли быть направлены почтой и ФСТЭК мог их просто не получить, хотя они были направлены в пределах установленного срока. |
Отклоняется
|
Помимо
отправки документов по почте существуют иные оперативные способы доставки
документов в ФСТЭК России.
|
55
|
пункт
75 Положения "изменение требований безопасности информации к
продукции"
Если требования смягчились, сертификат тоже приостанавливается? По буквальному смыслу текста получается так, хотя реально это не так. |
Принимается
|
Учтено
в редакции: «несоответствие продукции
требованиям безопасности информации, связанное с внесением изменений в
требования безопасности информации;»
|
56
|
Статьи
74-80 устанавливают 90 дневный срок приостановления действия сертификата.
Однако. В некоторых случаях уязвимости могут быть критическими и эксплуатация информационных систем, защищённых данным СЗИ, должна быть временно приостановлена для устранения возникших угроз или ИС могут быть отключены от сети "Интернет". Однако о полномочиях ФСТЭК по данному вопросу ничего не указано (хотя при авиационных катастрофах, например, МАК может приостановить полёты самолётов указанных типов, а не только остановить производство и реализацию продукции). |
Принимается
|
Добавлен пункт в редакции:
«79. В случае установления фактов о
несоответствии сертифицированной продукции требованиям безопасности
информации к продукции, а также фактов о наличии в сертифицированной
продукции уязвимостей или недекларированных возможностей, которые могут
привести к невыполнению требований о защите информации, установленных ФСТЭК
России, ФСТЭК России информирует потребителей продукции об указанных фактах,
а также о дополнительных мерах защиты информации.»
|
57
|
Не
указано, что информация об уязвимостях, известных ФСТЭК, направляется
разработчику (как он устранит уязвимость, если не знает, в чём она
заключается?).
|
Отклоняется
|
Предусмотрено
пунктом 76 Положения
|
58
|
В
связи с тем, что срок 90 дней исчисляется со дня принятия решения,
необходимо, с моей точки зрения, ввести норму отсылки заверенной электронной
копии решения по всем контактным e-mail в день принятия решения (не отменяя
норму отсылки заказным письмом).
|
Принимается
|
|
59
|
.
Вообще говоря, срок устранения уязвимости мог бы быть привязан к её
критичности, а также к наличию возможностей отказа от использования уязвимой
функции или временной блокировке этой функции (например, для систем
аутентификации, временный запрет уязвимого типа аутентификации).
|
Отклоняется
|
Срок
устранения уязвимости зависит от многих факторов. 90 дней для устранения
уязвимостей и недостатков подтверждены практикой устранения уязвимостей
заявителями на сертификацию.
|
60
|
Не
указан порядок и меры учёта потребителей для их наискорейшего уведомления о
прекращении применения продукции. Потребители могут узнать о соответствующем
решении спустя длительное время или проигнорировать его, сославшись на то,
что не знают о нём.
|
Отклоняется
|
Всех
потребителей учесть практически невозможно. Вместе с тем ответственность за
защиту информации лежит на потребителе.
Поэтому
исключение сведений о продукции из государственного реестра, а также
размещение на сайте ФСТЭК России информационного сообщения о прекращении
применения продукции достаточно.
|
61
|
Потребитель
принимает меры по прекращению применения продукции и по ее замене на другую
сертифицированную продукцию." Сроки принятия мер не указаны.
Дополнительные временные мероприятия на случай невозможности немедленного
прекращения применения продукции не указаны (отключение уязвимых функций,
отключение от сетей общего пользования, дополнительная защита другими СЗИ).
|
Отклоняется
|
Сроки
принятия мер зависят от особенностей информационной системы (есть ли
подключение к сетям связи общего пользования, не является ли данная система
системой реального времени).
Дополнительные
меры специфичны для каждой продукции и не являются предметом настоящего
Положения.
|
62
|
Выполнена
неверная классификация регулирования - как имеющего "Низкую"
степень регулирующего воздействия.
Она
должна быть "Высокой" или как минимум - "Средней", т.к.
согласно ст. 43 предлагаемого проекта "[...] Эксперт (эксперты) органа
по сертификации присутствует при проведении сертификационных испытаний.
[...]", а сами сертификационные испытания могут иметь продолжительность
до 3-х лет.
Присутствие
выделенного сотрудника органа по сертификации на территории испытательной
лаборатории, проводящей сертификационные испытания - это дополнительные,
непредусмотренные ранее расходы юридического лица.
В
этом случае регулирование должно быть (согласно п. а) или п. б) ст.6
Постановления Правительства РФ от 17.12.2012 N 1318 (ред. от 07.10.2017)
"О порядке проведения федеральными органами исполнительной власти оценки
регулирующего воздействия проектов нормативных правовых актов и проектов
решений Евразийской экономической комиссии, а также о внесении изменений в
некоторые акты Правительства Российской Федерации" отнесено к категории
с высокой или средней степенью регулирующего воздействия. В связи с чем срок
рассмотрения должен быть увеличен до 60 или 30 дней соответственно.
|
Принимается
|
В
соответствии с действующими документами орган по сертификации вообще проводит
сертификацию, которая включает проведение сертификационных испытаний, а также
инспекционный контроль.
Присутствие
органа по сертификации при проведении сертификационных испытаний значительно
повышает достоверность и качество их проведения.
На
сегодняшний день эксперты органа по сертификации участвуют в сертификационных
испытаниях продукции, в том числе в сертификационных испытаниях, проводимых
зарубежом.
В
связи с этим указанное требование Положения не является вновь вводимым.
Вместе
с тем, в целях упрощения процедуры сертификации органу по сертификации будет
дано право самостоятельно определять необходимость присутствия его экспертов
при проведении сертификационных испытаний.
|
63
|
В
настоящее время существует серьезные проблема с маркировкой сертифицированных
СЗИ:
-
потребители СЗИ не знают что СЗИ должны быть маркированы и как они должны
быть маркированы
-
нет требований, которые бы обязывали потребителей сертифицированных СЗИ
использовать именно маркированные СЗИ
В
результате потребители загружают дистрибутивы СЗИ с сайтов производителей, с
сайтов гос. органов, с сайтов лицензиатов и других организаций и даже с
торрентов. У потребителей отсутствуют какие либо официальные дистрибутивы,
формуляры, ТУ. При этом потребитель считает что он использует
сертифицированные СЗИ, он прав - так как отсутствуют НПА, которые бы
устанавливали правила для потребителей сертифицированных СЗИ.
Новое
"Положение о сертификации продукции .." также не решает все вопросы
связанные с маркированием СЗИ:
-
у потребителей не установлена обязанность использования маркированных СЗИ
-
пункт 67 противоречит пункту 70, так как нет однозначного понимания того,
каждый ли экземпляр СЗИ должен быть маркирован?
Предложение:
-
в обязанности потребителя вменить получение и применение только маркированной
продукции
-
в обязанности потребителя вменить получение и соблюдение условий сертификата,
формуляра, ТУ и задания по безопасности
-
в разделе "маркирование сертифицированной продукции" предусмотреть
вариант маркирования ПО, распространяемого по сетям связи, например путем
генерации формуляра подписанного электронной подписью
|
Отклоняется
|
Потребители
должны применять сертифицированную продукцию в случаях, установленных
законодательством Российской Федерации.
Потребителям
продукции будет доступно настоящее Положение, в котором изложена процедура
маркирования.
При
проведении аттестации объектов информатизации, при проведении контрольных
проверок проверяется обязательное применение сертифицированной продукции, в
том числе ее маркировка.
|
64
|
В
настоящее время существуют серьезные проблемы, связанные с тем что
потребители сертифицированных СЗИ не знают и не соблюдают ограничений и
условий указанных в сертификате СЗИ, формуляре, ТУ и задании по безопасности
в эксплуатационную документацию: ограничение на ОС, ограничения по
встраиванию, необходимость применения дополнительных организационных и
технических мер.
В
пункте 9 "Положения о сертификации продукции .." указываются
обязанности потребителя соблюдать условия приведенные в эксплуатационной
документации.
Явно
не указано, входит ли сертификат СЗИ, формуляр, ТУ и задание по безопасности
в эксплуатационную документацию?
Большинство
производителей СЗИ в качестве эксплуатационной документации размещают на
сайте только: руководство пользователя + руководство администратора. Зачастую
производитель отказывается предоставлять потребителю ТУ и ЗБ по причине
наличия в них конфиденциальной информации производителя.
Предложение:
-
явно указать что сертификат СЗИ, формуляр, ТУ и задание по безопасности
является эксплуатационной документацией на СЗИ
-
обязать потребителя получать и соблюдать условия указанные в такой
документации
-
обязать производителей предоставлять такую документацию потребителю
|
Отклоняется
|
Какая
документация является эксплуатационной определено ГОСТ 2.601 «Единая система
конструкторской документации. Эксплуатационные документы».
Технические
условия и задание по безопасности такой документацией не являются.
Формуляр
(паспорт) в обязательном порядке поставляется потребителю. Комплектность
эксплуатационной документации указывается в формуляре.
|
65
|
В
пункте 9 "Положения о сертификации продукции .." указываются
обязанности потребителя устанавливать обновления безопасности на СЗИ. Может
сложится впечатление что достаточно просто скачать обновления. Но где
гарантии что в обновленном ПО соблюдаются все требования безопасности? К тому
же поменяются контрольные суммы и потребитель будет иметь СЗИ не
соответствующее формуляру.
В
соответствии с пунктом 71 разработчик СЗИ при внесении изменений в ТУ, ЗБ или
формуляр (а там контрольные суммы ПО) отправляет информацию во ФСТЭК России.
А в соответствии с пунктом 73 ФСТЭК России рассматривает и согласовывает
поступившие документы.
Не
указано, как должны доводится до потребителя измененные документы. Это
обязанность потребителя получить (купить) новые комплекты документации и
дистрибутив?
Предложение:
дополнить обязанности потребителей и разработчиков СЗИ в части обновления
документации на СЗИ при обновлении СЗИ.
|
Принимается
|
Добавлен
пункт 74 следующего содержания: «Заявитель информирует потребителей о
внесении изменений в сертифицированную продукцию, в том числе о внесении
изменений в эксплуатационную документацию, и в рамках технической поддержки осуществляет
доведение обновлений продукции и изменений в документацию до потребителей.»
|
66
|
Одобряю.
Необходимость обновления НПА о сертификации СЗИ назрела уже давно.
Такие
насущные задачи как: Обновления СЗИ, устранение уязвимостей, удаленное
получение дистрибутивов и документации не были учтены в предыдущей версии
НПА.
|
Принимается
|
|
67
|
Своевременный
документ. Возможно, он позволит решить проблему обновления средств защиты
информации.
|
Принимается
|
|
68
|
Текст
документа нуждается в доработке, в части соответствия требованиям
постановления Правительства Российской Федерации от 26 июня 1995 г. N 608,
при определении состава участников системы сертификации.
|
Отклоняется
|
Положение
в части состава участников соответствует постановлению Правительства
Российской Федерации от 26 июня 1995 г. № 608 за исключением
центрального органа по сертификации, который может создаваться при
необходимости.
Практика
сертификации, сложившаяся с 1993 года показывает отсутствие необходимости
создания центральных органов по сертификации.
|
69
|
В
пунктах 3, 4, 8, 9, 14, 36, 86, 87 проекта Положения в качестве субъектов
правоотношений, в области сертификации средств защиты указаны "лица,
эксплуатирующие продукцию (далее - потребители)". При этом, поскольку
определение термина "эксплуатация продукции" или
"эксплуатация" (в целом) не дается, то не вполне ясно, кем являются
указанные лица и кто входит в категорию потребителей (собственники объектов
защиты при использовании средств защиты информации по предназначению,
поставщики, субподрядчики, при проведении работ по монтажу, установке и
настройке средств защиты, сотрудники сторонних организаций при техническом
обслуживании и администрировании средств защиты информации).
Это
создает неясность и в дальнейшем, например при применении пункта 8 проекта
Положения в котором ограничивается право юридических и физических лиц быть
заявителями, если они не относятся к перечисленным в абзацах втором-четвертом
данного пункта категориях (разработчики, производители и лица,
эксплуатирующие продукцию - потребители)
|
Отклоняется
|
Термин
«эксплуатация продукции» определен документами национальной системы
стандартизации.
Определение
указанного термина не является предметом настоящего Положения.
|
70
|
Пункт
4 проекта Положения не соответствует требованиям пункта 2 Положения о сертификации
средств защиты информации, утвержденного постановлением Правительства
Российской Федерации от 26 июня 1995 г. N 608, поскольку перечисленные в нем
"потребители" не являются участниками сертификации средств защиты
информации согласно постановлению Правительства РФ.
Поскольку
"потребители" не являются участниками системы сертификации,
возложение на них каких-либо функций (пункт 9 раздела II "Организация
сертификации продукции"), не может производиться в рамках самой системы
сертификации и регулироваться приказом директора ФСТЭК России об утверждении
Положения о данной системе сертификации.
|
Отклоняется
|
Потребители
эксплуатируют сертифицированную продукцию.
Эксплуатация
является неотъемлемой стадией жизненного цикла продукции, на которой в
продукции могут быть выявлены недостатки, в том числе уязвимости и
недекларированные возможности.
Потребитель
должен знать, как ему эксплуатировать сертифицированную продукцию, как
распространяется на него срок действия сертификата соответствия, в каких
случаях необходимо принимать меры по прекращению применения сертифицированной
продукции.
Функции
потребителя, изложенные в пункте 9 настоящего Положения, соответствуют
требованиям о защите информации, установленным ФСТЭК России, которые
распространяются на владельцев (операторов) объектов информатизации
(информационных систем).
|
71
|
Указанные
в абзацах третьем-седьмом пункта 14 проекта Положения, а также в абзаце
третьем пункта 87 проекта Положения требования ограничивают права
потребителей средств защиты информации, поскольку они вправе использовать
законно приобретенную или полученную иным законным путем продукцию в своих
интересах, способами, не нарушающими законодательство Российской Федерации,
вне зависимости от наличия или отсутствия приказа ФСТЭК России.
Например,
потребители могут использовать средства защиты на собственных объектах
защиты, требования ФСТЭК России, на которые не распространяются, либо в
исследовательских, научных, образовательных целях, вне задач обработки
информации, на которую распространяются требования законодательства
Российской Федерации по обеспечению ее безопасности
|
Принимается
в редакции
|
Уточнено,
что потребителями являются организации, которые в соответствии с
законодательством Российской Федерации обязаны применять для защиты
информации сертифицированную продукцию.
|
72
|
Учитывая
вышеизложенное, в целях приведения проекта Положения требованиям
законодательства Российской Федерации, и в частности постановления
Правительства Российской Федерации от 26 июня 1995 г. N 608, предлагается:
1. Изложить пункт
3 проекта Положения в следующей редакции:
"3.
Настоящее Положение распространяется на лиц, претендующих на получение
сертификата соответствия продукции требованиям безопасности информации (далее
– сертификат соответствия) или получивших сертификат соответствия (далее -
заявители), организации, аккредитованные ФСТЭК России в качестве органа по
сертификации или испытательной лаборатории (далее – органы по сертификации,
испытательные лаборатории).".
2. Изложить
пункт 4 проекта Положения в следующей редакции:
"4.
Участниками обязательной сертификации продукции являются ФСТЭК России, органы
по сертификации, испытательные лаборатории, заявители.".
3. Пункт 9
проекта Положения исключить.
4. Изложить
пункт 14 проекта Положения в следующей редакции:
"14. Срок
действия сертификата соответствия распространяется на заявителя.
По окончании
срока действия сертификата соответствия заявитель может организовать
проведение процедуры по продлению срока действия сертификата
соответствия.".
5. Изложить
пункт 86 проекта Положения в следующей редакции:
"86. ФСТЭК
России принимает решение о прекращении применения сертифицированной продукции
в случае, если применение продукции может привести к невыполнению требований
о защите информации, установленных ФСТЭК России, в том числе применение
сертифицированной продукции создает угрозы безопасности информации.".
6. Изложить
пункт 87 проекта Положения в следующей редакции:
" 87.
Решение о прекращении применения сертифицированной продукции оформляется
приказом ФСТЭК России.
ФСТЭК России исключает
сведения о продукции из
|
Принимается
|
Положение
доработано в соответствии с постановлением Правительства Российской Федерации
от 26 июня 1995 г. № 608
|
73
|
Проект Приказа не соответствует
положениям ПП 608.
|
Принимается
|
Положение
доработано в соответствии с постановлением Правительства Российской Федерации
от 26 июня 1995 г. № 608
|
74
|
Не верно
определена регулирующая роль в ред. Постановления Правительства РФ от
30.01.2015 № 83 (не "низко",а "среднее" - расширение
действия существующего Приказа № 199 от 27.10.1995, добавление новой
категории "пользователи СЗИ").
|
Принимается
|
Потребители
изъяты из участников сертификации продукции.
|
75
|
Неверное
количество участников отношений (не 500, а несколько десятков тысяч. Только
лицензиатов на производство СЗИ больше 1000, а пользователей СЗИ по всей
стране намного больше).
|
Принимается
|
Потребители
изъяты из участников сертификации продукции.
|
76
|
Неверное
указание проблемы, на решение которой направлен Приказ. (В соответствии с
пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г.
№ 608 «О сертификации средств защиты информации» был выпущен приказ №199 от
27.10.1995, где описан детальный порядок сертификации)
|
Отклоняется
|
В
Положении, утвержденном приказом №199
от 27 октября 1995 г. не описан детальный порядок сертификации.
|
77
|
В Положение
включен раздел "Применение сертифицированной продукции", что
выходит за пределы области действия ПП 608 и не относится к процедурам
сертификации СЗИ.
Убрать из
Положения разделы, выходящие за пределы сферы сертификации (применение
сертифицированной продукции).
|
Отклоняется
|
Раздел
«Применение продукции» отсутствует в Положении
|
78
|
Отсутствует
описание процедур признания зарубежных сертификатов СЗИ, прописанное в ПП
608.
|
Отклоняется
|
ФСТЭК
России в соответствии с 608 и 330 постановлениями не наделена полномочиями по
установлению процедур признания зарубежных сертификатов. Данные процедуры
установлены 608 постановлением Правительства Российской Федерации.
|
79
|
Предусмотреть в Приказе переходный период от
старой системы сертификации к новой.
Окончательно
определить в Приказе судьбу Приказа от 27.10.1995 № 199.
Определить
статус ТУ в системе сертификации.
|
Принимается
|
Система
остается той же. Приказом будет предусмотрено, что Положение вступит в силу с
1 августа 2018 г.
|
80
|
Дополнить
приказ приложением: Перечнем продукции, используемой в целях защиты сведений,
составляющих государственную тайну или относимых к охраняемой в соответствии
с законодательством Российской Федерации иной информации ограниченного
доступа, и продукции, сведения о которой составляют государственную тайну.
|
Отклоняется
|
Перечень
продукции будет утвержден отдельно.
|
81
|
Пункт 2 «Положения о сертификации продукции,
используемой в целях защиты сведений, составляющих государственную тайну или
относимых к охраняемой в соответствии с законодательством РФ иной информации
ограниченного доступа по требованиям безопасности информации» (далее –
Положение), которое должно быть введено в действие проектом рецензируемого
приказа ФСТЭК России, противоречит статье 2 Федерального закона от 27.12.2002
года № 184-ФЗ «О техническом регулировании», в которой установлено, что
требования к функционированию и безопасности единой сети электросвязи
регулируются законодательством РФ в области связи. В частности, защита тайны
связи, которая также охраняется законами РФ (Федеральный закон от 07.07.2003
года № 126-ФЗ «О связи»), не подпадает под действие статьи 5 Федерального
закона № 184-ФЗ и нормативных правовых актов ФСТЭК России, устанавливающих
требования к защите информации ограниченного доступа, не составляющей
государственную тайну и охраняемую законами РФ.
Однако
рецензируемый проект приказа ФСТЭК России не содержит исключений по
сертификации для механизмов защиты информации реализованных в средствах
связи.
Сертификация
средств связи с встроенными функциями защиты информации проводится в
соответствии с постановлением Правительства РФ от 13.04.2005 года № 214 «Об
утверждении правил организации и проведения работ по обязательному
подтверждению соответствия средств связи». Для обеспечения функциональной
устойчивости единой сети электросвязи функции защиты информации средств связи
должны соответствовать международным стандартам связи 3GPP ETSI и др., а
также нормативным правовым актам уполномоченного органа в области связи.
Предложение.
Дополнить
пункт 2 Положения абзацем, исключающим из области действия проекта приказа
функции (механизмы) защиты информации реализованные в средствах связи:
«Сертификация
средств связи с встроенными функциями защиты информации проводится в
соответствии с законодательством РФ в области связи.».
|
Отклоняется
|
Положение
разработано в соответствии со статьей 5
Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом
регулировании» и не распространяется на средства связи.
Средства
связи не являются предметом настоящего Положения.
|
82
|
Пункт
1 проекта приказа ФСТЭК России в основаниях для разработки нормативного
правового акта содержит ссылку на постановление Правительства Российской
Федерации от 15 мая 2010 г. № 330 «Об особенностях оценки соответствия
продукции (работ, услуг), используемой в целях защиты сведений, относимых к
охраняемой в соответствии с законодательством Российской Федерации информации
ограниченного доступа, не содержащей сведения, составляющие государственную
тайну, а также процессов ее проектирования (включая изыскания), производства,
строительства, монтажа, наладки, эксплуатации, хранения, перевозки,
реализации, утилизации и захоронения».
Однако
постановление Правительства РФ № 330 не является публичным нормативным
правовым актом. При этом требования Положения будут распространяться на
организации всех форм собственности.
Предложение.
Исключить
из п. 1 Положения ссылку на постановление Правительства РФ № 330.
|
Отклоняется
|
Продукция,
используемая в целях защиты информации, сертифицированная в соответствии с
указанным Положением, применяется в органах государственной власти и
организациях, имеющих доступ к указанному постановлению Правительства
Российской Федерации.
|
83
|
Пункт
13 Положения устанавливает срок действия сертификата соответствия - 5 лет.
Ограничение срока действия сертификата не средство защиты информации не имеет
существенных причин, но приводит к значительному удорожанию продукции для
потребителя, необходимости замены средств защиты информации при окончании
срока действия сертификата. При этом срок использования аналогичной по
свойствам продукции – сертифицированных средств связи, ограничен только
сроком годности. Например, пункт 36 постановления Правительства РФ от
13.04.2005 года № 214 «Об утверждении правил организации и проведения работ по
обязательному подтверждению соответствия средств связи» ограничивает срок
эксплуатации сертифицированных средств связи только сроком годности (службы)
в соответствии с областью применения.
Предложение.
Ограничить
срок эксплуатации сертифицированных средств защиты информации сроками
годности. Изложить п. 13 Положения в следующей редакции:
«Средство
защиты информации, приобретенное в период действия сертификата соответствия,
может использоваться на всей территории Российской Федерации в течение всего
срока годности (службы) в соответствии с областью применения.».
|
Отклоняется
|
Срок
действия сертификата соответствия не распространяется на потребителя.
Срок
действия сертификата соответствия, установленный Положением соответствует
сроку, установленному Положением о сертификации средств защиты информации,
утвержденным постановлением Правительства Российской Федерации от 26 июня
1995 г. № 608.
|
84
|
Пункт
75 Положения предусматривает возможность приостановления действия сертификата
соответствия, в том числе, при изменении требований безопасности информации к
продукции.
Эта
норма существенно ограничивает права потребителя, который приобрел средство
защиты информации, качество которого было подтверждено сертификатом
соответствия. Такой продукт может использоваться до окончания срока годности.
Новые требования безопасности информации должны применяться к новым средствам
защиты информации, которые проходят сертификацию после утверждения этих
требований установленным порядком.
Предложение.
Исключить
из пункта 75 основание для приостановки действия сертификата соответствия:
«изменение
требований безопасности информации к продукции».
|
Отклоняется
|
Приостановление
срока действия сертификата соответствия не распространяется на потребителя
продукции, только на заявителя.
|
85
|
Пункты
86 и 87 Положения устанавливают возможность прекращения применения
сертифицированной продукции по решению ФСТЭК России. Эти пункты нарушают
права потребителя. Продукция, не соответствующая требованиям по безопасности
информации на момент сертификации, не должна получать сертификат.
Предложение. Исключить пункты 86 и 87.
|
Отклоняется
|
В
86, 87 пунктах Положения идет речь о сертифицированной продукции, которая
прошла сертификацию и эксплуатируется потребителем.
Может
возникнуть ситуация, когда продукция не может использоваться для защиты
информации и требует замены, так как она становится не эффективной. Например,
средство антивирусной защиты в случае прекращения его поддержки
разработчиком.
Механизм
прекращения применения сертифицированной продукции необходим в целях
обеспечения эффективной защиты информации ограниченного доступа.
|
86
|
в
абзаце третьем пункта 30 проекта Положения слова «пунктом 30» заменить
словами «пунктом 29».
|
Принимается
|
|
87
|
3.
в пункте 35 проекта Положения установить способ направления заявителю,
испытательной лаборатории и органу по сертификации уведомления об
аннулировании решения о проведении сертификации продукции.
|
Отклоняется
|
В
официальном порядке по почте.
|
88
|
.второй
абзац пункта 87 проекта Положения дополнить словами «путем размещения указанного
решения на официальном сайте ФСТЭК России в
информационно-телекоммуникационной сети Интернет».
|
Отклоняется
|
Возможны
различные способы информирования
|