Результаты публичного обсуждения Положения о сертификации ФСТЭК

Проект приказа ФСТЭК России «Об утверждении Положения о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации», по результатам публичного обсуждения.

http://regulation.gov.ru/projects#npa=78950

Инициатива ФСТЭК вызвало очень бурное обсуждение и активное участие в корректировке проекта Приказа, поступило за две недели 88 предложения. В том числе и мои, изложенные в https://valerykomarov.blogspot.com/2018/03/blog-post.html

Что мы видим в результате?

А видим

Предложение	Решение ФСТЭК	Первая версия	Новая версия	Комментарий от меня
Проект Приказа не соответствует положениям ПП 608.	Принимается. Положение доработано в соответствии с постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608	-	-	Ничего не поменялось.
Не верно определена регулирующая роль в ред. Постановления Правительства РФ от 30.01.2015 № 83 (не "низко",а "среднее" - расширение действия существующего Приказа № 199 от 27.10.1995, добавление новой категории "пользователи СЗИ").	Принимается. Потребители изъяты из участников сертификации продукции.	4.Участниками обязательной сертификации продукции являются ФСТЭК России, органы по сертификации, испытательные лаборатории, заявители и потребители.	5. Участниками системы сертификации средств защиты информации ФСТЭК России являются: … лица, эксплуатирующие в соответствии с законодательством Российской Федерации сертифицированные средства защиты информации (далее - потребители).	Как были потребители, так и остались.
Неверное количество участников отношений (не 500, а несколько десятков тысяч. Только лицензиатов на производство СЗИ больше 1000, а пользователей СЗИ по всей стране намного больше).	Принимается. Потребители изъяты из участников сертификации продукции.	4.Участниками обязательной сертификации продукции являются ФСТЭК России, органы по сертификации, испытательные лаборатории, заявители и потребители.	5. Участниками системы сертификации средств защиты информации ФСТЭК России являются: … лица, эксплуатирующие в соответствии с законодательством Российской Федерации сертифицированные средства защиты информации (далее - потребители).	Как были потребители, так и остались.
Неверное указание проблемы, на решение которой направлен Приказ. (В соответствии с пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» был выпущен приказ №199 от 27.10.1995, где описан детальный порядок сертификации)	Отклоняется. В Положении, утвержденном  приказом №199 от 27 октября 1995 г. не описан детальный порядок сертификации.	-	-	Получается, что у нас будет действовать 2 Положения о сертификации: детальное и не очень.
В Положение включен раздел "Применение сертифицированной продукции", что выходит за пределы области действия ПП 608 и не относится к процедурам сертификации СЗИ. Убрать из Положения разделы, выходящие за пределы сферы сертификации (применение сертифицированной продукции).	Отклоняется. Раздел «Применение продукции» отсутствует в Положении	Принятие решения о запрете применения сертифицированного средства защиты информации	Принятие решения о запрете применения сертифицированного средства защиты информации	Моя ошибка в формулировке запроса, позволил отклонить по формальному признаку.
Отсутствует описание процедур признания зарубежных сертификатов СЗИ, прописанное в ПП 608.	Отклоняется. ФСТЭК России в соответствии с 608 и 330 постановлениями не наделена полномочиями по установлению процедур признания зарубежных сертификатов. Данные процедуры установлены 608 постановлением Правительства Российской Федерации.	-	-	Просто праздник для зарубежных производителей. Можно требовать от ФСТЭК проводить сертификацию по пп608, а не по Положению ФСТЭК.
Предусмотреть в Приказе переходный период от старой системы сертификации к новой. Окончательно определить в Приказе судьбу Приказа от 27.10.1995 № 199. Определить статус ТУ в системе сертификации.	Принимается. Система остается той же. Приказом будет предусмотрено, что Положение вступит в силу с 1 августа 2018 г.	Утвердить прилагаемое Положение о сертификации продукции, …..	2.Установить, что указанное в пункте 1 настоящего приказа Положение применяется для сертификации средств защиты информации с 1 августа 2018 г.	Это не переходный период, а просто отсрочка ввода в действие Положения. Причем незначительная. Отсутствуют ответы по судьбе 199 приказа и ТУ.
Дополнить приказ приложением: Перечнем продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции, сведения о которой составляют государственную тайну.	Отклоняется. Перечень продукции будет утвержден отдельно.	-	-	Зачем необходимо выпускать отдельный приказ, вводящий Перечень не понимаю. Пока не будет Перечня, Положение о сертификации не заработает.

1.                ФСТЭК желает новое Положение «здесь и сейчас». Признание заниженной регулирующей роли Приказа - это основание для проведения совершенно другой процедуры согласования и внедрения этого проекта Приказа. Но ФСТЭК это не устраивает, а от «потребителей» он так же не готов отказаться. Поэтому и признается формально замечание, но ничего не меняется в самом проекте Приказа.

2.                Интересная коллизия теперь получается с «потребителями СЗИ». К «потребителям» теперь относятся только «лица, эксплуатирующие в соответствии с законодательством Российской Федерации сертифицированные средства защиты информации», а это только случаи для защиты гостайны и ГИС. Получается, что Положение распространяется только на владельцев/оператор ГИС или АСЗИ ГТ, а это по сути – органы власти?

3.                Подать заявку на сертификацию теперь может только изготовитель СЗИ. Даже для «единичного образца» и «партий». Все в очередь на лицензирование в ФСТЭК.

4.                С «единичными экземплярами» теперь вообще ерунда получилась. «Сертификация единичных образцов и партии средств защиты информации организуется заявителем, эксплуатирующим средства защиты информации, в случае, когда отсутствует идентичная серийно производимая сертифицированная продукция.»

Смотрим кто такой «заявитель»:

«изготовители средств защиты информации, претендующие на получение сертификата соответствия средства защиты информации требованиям безопасности информации (далее – сертификат соответствия) или получивших сертификат соответствия (далее - заявители);»

И мало быть изготовителем СЗИ, необходимо быть еще и его самому эксплуатировать это самое СЗИ. Получается, что я теперь не могу заказать прикладное ПО, с функциями защиты информации? Производителю оно не нужно и эксплуатировать это ПО он не будет, а я не могу на сертификацию подать заявку, потому что не производитель.

5.                Ответ ФСТЭК по зарубежным СЗИ говорит о том, что иностранные компании не обязаны руководствоваться новым Положением о сертификации. Процедуры для иностранцев определяются только ПП 608.

6.                ФСТЭК не видит проблемы в одновременном существовании Положения о сертификации, утвержденным приказом № 199 в 1995 году. Она просто считает его недостаточно детализированным и конкретным. Будем жить с двумя Положениями и двумя Перечнями СЗИ.

7.                Нет никаких комментариев по судьбе сертификации по ТУ. Замечание имеет статус «принято», но никак не исправлено в тексте Положения.

8.                ФСТЭК не видит никакой необходимости в переходном периоде. Как сложится ситуация с теми, кто уже будет находится в процессе сертификации по старым правилам – непонятно. Может ли ФСТЭК выдавать сертификаты на СЗИ, заявки на которые поданы в соответствии с старым Перечнем (Приложение 1 к Положению о сертификации от 1995 года) после введения нового Приказа?

Итог: ФСТЭК явно хочет получить полномочия по отзыву сертификатов по основаниям, которые отсутствуют в ПП 608 (уязвимости и техподдержка), а так же право на прекращение эксплуатации СЗИ (для этого потребители и введены в Положение). Скорее всего, окончательная версия (зарегистрированная МинЮстом) Приказа будет отличаться от опубликованной на regulation.gov.ru.

* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite