вторник, 27 марта 2018 г.

Результаты публичного обсуждения Положения о сертификации ФСТЭК




Проект приказа ФСТЭК России «Об утверждении Положения о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации», по результатам публичного обсуждения.
Инициатива ФСТЭК вызвало очень бурное обсуждение и активное участие в корректировке проекта Приказа, поступило за две недели 88 предложения. В том числе и мои, изложенные в https://valerykomarov.blogspot.com/2018/03/blog-post.html
Что мы видим в результате?


А видим

Предложение
Решение ФСТЭК
Первая версия
Новая версия
Комментарий от меня
Проект Приказа не соответствует положениям ПП 608.
Принимается. Положение доработано в соответствии с постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608

-
-
Ничего не поменялось.
Не верно определена регулирующая роль в ред. Постановления Правительства РФ от 30.01.2015 № 83 (не "низко",а "среднее" - расширение действия существующего Приказа № 199 от 27.10.1995, добавление новой категории "пользователи СЗИ").
Принимается. Потребители изъяты из участников сертификации продукции.
4.Участниками обязательной сертификации продукции являются
ФСТЭК России, органы по сертификации, испытательные лаборатории, заявители и потребители.
5. Участниками системы сертификации средств защиты информации ФСТЭК России являются:
лица, эксплуатирующие в соответствии с законодательством Российской Федерации сертифицированные средства защиты информации (далее - потребители).
Как были потребители, так и остались.
Неверное количество участников отношений (не 500, а несколько десятков тысяч. Только лицензиатов на производство СЗИ больше 1000, а пользователей СЗИ по всей стране намного больше).
Принимается. Потребители изъяты из участников сертификации продукции.
4.Участниками обязательной сертификации продукции являются
ФСТЭК России, органы по сертификации, испытательные лаборатории, заявители и потребители.
5. Участниками системы сертификации средств защиты информации ФСТЭК России являются:
лица, эксплуатирующие в соответствии с законодательством Российской Федерации сертифицированные средства защиты информации (далее - потребители).
Как были потребители, так и остались.
Неверное указание проблемы, на решение которой направлен Приказ. (В соответствии с пунктом 2 постановления Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» был выпущен приказ №199 от 27.10.1995, где описан детальный порядок сертификации)
Отклоняется. В Положении, утвержденном  приказом №199 от 27 октября 1995 г. не описан детальный порядок сертификации.
-
-
Получается, что у нас будет действовать 2 Положения о сертификации: детальное и не очень.
В Положение включен раздел "Применение сертифицированной продукции", что выходит за пределы области действия ПП 608 и не относится к процедурам сертификации СЗИ.
Убрать из Положения разделы, выходящие за пределы сферы сертификации (применение сертифицированной продукции).
Отклоняется. Раздел «Применение продукции» отсутствует в Положении
Принятие решения о запрете применения сертифицированного средства защиты информации
Принятие решения о запрете применения сертифицированного средства защиты информации

Моя ошибка в формулировке запроса, позволил отклонить по формальному признаку.

Отсутствует описание процедур признания зарубежных сертификатов СЗИ, прописанное в ПП 608.
Отклоняется. ФСТЭК России в соответствии с 608 и 330 постановлениями не наделена полномочиями по установлению процедур признания зарубежных сертификатов. Данные процедуры установлены 608 постановлением Правительства Российской Федерации.
-
-
Просто праздник для зарубежных производителей. Можно требовать от ФСТЭК проводить сертификацию по пп608, а не по Положению ФСТЭК.
Предусмотреть в Приказе переходный период от старой системы сертификации к новой.
Окончательно определить в Приказе судьбу Приказа от 27.10.1995 № 199.
Определить статус ТУ в системе сертификации.
Принимается. Система остается той же. Приказом будет предусмотрено, что Положение вступит в силу с 1 августа 2018 г.
Утвердить прилагаемое Положение о сертификации продукции, …..
2.Установить, что указанное в пункте 1 настоящего приказа Положение применяется для сертификации средств защиты информации с 1 августа 2018 г.
Это не переходный период, а просто отсрочка ввода в действие Положения. Причем незначительная.
Отсутствуют ответы по судьбе 199 приказа и ТУ.
Дополнить приказ приложением: Перечнем продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции, сведения о которой составляют государственную тайну.
Отклоняется. Перечень продукции будет утвержден отдельно.
-
-
Зачем необходимо выпускать отдельный приказ, вводящий Перечень не понимаю. Пока не будет Перечня, Положение о сертификации не заработает.

1.                ФСТЭК желает новое Положение «здесь и сейчас». Признание заниженной регулирующей роли Приказа - это основание для проведения совершенно другой процедуры согласования и внедрения этого проекта Приказа. Но ФСТЭК это не устраивает, а от «потребителей» он так же не готов отказаться. Поэтому и признается формально замечание, но ничего не меняется в самом проекте Приказа.
2.                Интересная коллизия теперь получается с «потребителями СЗИ». К «потребителям» теперь относятся только «лица, эксплуатирующие в соответствии с законодательством Российской Федерации сертифицированные средства защиты информации», а это только случаи для защиты гостайны и ГИС. Получается, что Положение распространяется только на владельцев/оператор ГИС или АСЗИ ГТ, а это по сути – органы власти?
3.                Подать заявку на сертификацию теперь может только изготовитель СЗИ. Даже для «единичного образца» и «партий». Все в очередь на лицензирование в ФСТЭК.


4.                С «единичными экземплярами» теперь вообще ерунда получилась. «Сертификация единичных образцов и партии средств защиты информации организуется заявителем, эксплуатирующим средства защиты информации, в случае, когда отсутствует идентичная серийно производимая сертифицированная продукция.»
Смотрим кто такой «заявитель»:
«изготовители средств защиты информации, претендующие на получение сертификата соответствия средства защиты информации требованиям безопасности информации (далее – сертификат соответствия) или получивших сертификат соответствия (далее - заявители);»
И мало быть изготовителем СЗИ, необходимо быть еще и его самому эксплуатировать это самое СЗИ. Получается, что я теперь не могу заказать прикладное ПО, с функциями защиты информации? Производителю оно не нужно и эксплуатировать это ПО он не будет, а я не могу на сертификацию подать заявку, потому что не производитель.
5.                Ответ ФСТЭК по зарубежным СЗИ говорит о том, что иностранные компании не обязаны руководствоваться новым Положением о сертификации. Процедуры для иностранцев определяются только ПП 608.
6.                ФСТЭК не видит проблемы в одновременном существовании Положения о сертификации, утвержденным приказом № 199 в 1995 году. Она просто считает его недостаточно детализированным и конкретным. Будем жить с двумя Положениями и двумя Перечнями СЗИ.
7.                Нет никаких комментариев по судьбе сертификации по ТУ. Замечание имеет статус «принято», но никак не исправлено в тексте Положения.
8.                ФСТЭК не видит никакой необходимости в переходном периоде. Как сложится ситуация с теми, кто уже будет находится в процессе сертификации по старым правилам – непонятно. Может ли ФСТЭК выдавать сертификаты на СЗИ, заявки на которые поданы в соответствии с старым Перечнем (Приложение 1 к Положению о сертификации от 1995 года) после введения нового Приказа?


Итог: ФСТЭК явно хочет получить полномочия по отзыву сертификатов по основаниям, которые отсутствуют в ПП 608 (уязвимости и техподдержка), а так же право на прекращение эксплуатации СЗИ (для этого потребители и введены в Положение). Скорее всего, окончательная версия (зарегистрированная МинЮстом) Приказа будет отличаться от опубликованной на regulation.gov.ru.


* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

3 комментария:

  1. А где посмотреть все решения по результатам предложений?

    ОтветитьУдалить
    Ответы
    1. В паспорте проекта Приказа. Если не найдёте, то таблицу в блоге размещу

      Удалить
    2. https://valerykomarov.blogspot.com/2018/03/blog-post_28.html

      Удалить