Посвятил в блоге серию заметок теме "Изменение системы сертификации ФСТЭК" для привлечения внимания участников оборота средств защиты информации в стране. Удалось существенно повысить активность публичного обсуждения проекта Приказа ФСТЭК на соответствующих правовых ресурсах, было предложено очень много правок и предложений.
Последнюю версию проекта Приказа ФСТЭК комментировал в заметке:
https://valerykomarov.blogspot.com/2018/04/blog-post_17.html
Теперь уже можем обсудить итоговый документ и результат нашей борьбы за качественный и продуманный документ, влияющий на жизнь всех безопасников страны.
Подписан 03.04.2018 и 14.05.2018 официально опубликован приказ ФСТЭК России от 03.04.2018 № 55 «Об утверждении Положения о системе сертификации средств защиты информации» (Зарегистрирован в Минюсте 11.05.2018 № 51063).
http://publication.pravo.gov.ru/Document/View/0001201805140022
С 01 августа 2018 года приступаем к его выполнению.
Основные достижения:
1. Полностью убрали раздел:
"Принятие решения о запрете применения сертифицированного средства защиты информации
93. ФСТЭК России принимает решение о запрете применения сертифицированного средства защиты информации в случае, если применение средства защиты информации может привести к невыполнению требований по безопасности информации или создает угрозы безопасности информации.
94. Решение о запрете применения сертифицированного средства защиты информации оформляется приказом ФСТЭК России.
ФСТЭК России исключает сведения о средстве защиты информации из государственного реестра сертифицированных средств защиты информации и информирует потребителей сертифицированного средства защиты информации о принятом решении.
95. Cредство защиты информации, в отношении которого принято решение о запрете его применения, подлежит замене на другое сертифицированное средство защиты информации.".
2. Убрали дискриминацию для изготовителя СЗИ по использованию средства защиты после окончания срока действия выданного аттестата. Изменили формулировки в п.15 Положения.
3. Конкретизирован и сокращен перечень оснований для отказа в проведении сертификации. В п.25 Положения теперь не просто "наличие у ФСТЭК России сведений об угрозах безопасности, связанных с применением средства защиты информации", а "наличие в БДУ...".
Полностью убрали основания для отказа: "наличие в средстве защиты информации уязвимостей или недекларированных возможностей; несоответствие средства защиты информации требованиям по безопасности информации;".
Есть еще множество мелких правок и изменений, сделанных ФСТЭК с момента публикации последней версии проекта Приказа. В очередной раз убедились, что утвержденная версия сильно отличается от опубликованных проектов документов.
Итог: считаю, что мы многого добились своей активной гражданской позицией. ФСТЭК пришлось существенно ограничить свои полномочия в Приказе. С победой здравого смысла, коллеги.
Что и говорить, большой привет тем, кто спешит реализовывать, а ещё хуже, когда и другим даёт побуждения к действию, основываясь на постулатах проектов НПА.
ОтветитьУдалить