вторник, 14 мая 2019 г.

Сертификация ФСТЭК. Теперь будет так.


      Реализация на практике нового подхода ФСТЭК к сертификации средств защиты информации. Сами веяния обсуждал в блоге.


      У одного из средств защиты информации  закончился 09.03.2019 срок действия сертификата соответствия, выданный ФСТЭК России. С 1 августа 2018 года это не смертельно для обладателей данного СЗИ. Приказ ФСТЭК России от 03.04.2018 № 55 «Об утверждении Положения о системе сертификации средств защиты информации»:
   «15. По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия.
   Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки.».
   Заявитель не стал подавать заявку на продление сертификата, более того - прекратил техническую поддержку уже выпущенных СЗИ.
    Действие сертификата прекратилось ранее, поэтому выпускать отдельный приказ ФСТЭК не потребовалось «90. Решение о прекращении действия сертификата соответствия оформляется приказом ФСТЭК России.», обошлись информационным сообщением.
      Информационное сообщение ФСТЭК России «С 7 мая 2019 г. запрещено применение генератор-излучателя акустических и виброакустических помех «Шторм» (сертификат соответствия от 9 марта 2010 г. N 2052) для защиты информации, обрабатываемой на объектах информатизации, в связи с прекращением заявителем ЗАО «Орбита» технической поддержки. Необходимо заменить указанное средство защиты информации на аналогичное сертифицированное средство защиты информации.»
    Формально, с 07.05.2019 за использование данного СЗИ предусмотрена административная ответственность по Статье 13.12. Нарушение правил защиты информации КоАП РФ

2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну),
-влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч пятисот рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от двух тысяч пятисот до трех тысяч рублей; на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.

4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну,
-влечет наложение административного штрафа на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц - от двадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.
    Вопрос: сколько времени у владельцев этого СЗИ на замену? В информационном сообщение никакой конкретики нет. А ведь его замена это не только закупка нового СЗИ, но и внесение изменений в аттестат, с проведением соответствующих работ по настройке, наладке и измерений. Это еще дополнительная административная ответственность по п.6 ст.13.12 КоАП.
    И в этом проблема для пользователей сертифицированных СЗИ. Если раньше пользователь мог ориентироваться на срок действия сертификата и планировать свой бюджет, то сейчас подобная необходимость может и нежданно нагрянуть. Фактически, пользователь СЗИ должен регулярно (не реже 1 раза в год) запрашивать заявителя на сертификацию СЗИ о планах на продолжение/прекращение техподдержки. И обязательно  - постоянно отслеживать информационные материалы на сайте ФСТЭК России.
   
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога


3 комментария:

  1. Тех. поддержка - это услуга, и её нужно регулярно покупать.
    Хочешь 3 года спать спокойно - закупаешь тех. поддержку сразу на 3 года. Не продают - повод задуматься о смене СЗИ.

    ОтветитьУдалить
  2. 1. По Положению о сертификации, это обязанность заявителя - осуществлять техподдержку на весь период действия сертификата. По окончанию действия сертификата уже не обязан и возможно по вашему варианту

    ОтветитьУдалить
  3. 2. Тема актуальна в основном для госов, закупка через госконтракт трехлетней техподдержки не самая простая задача. Будут вопросы по обоснованности трат. Обеспечение спокойствия не пройдёт как обоснование.

    ОтветитьУдалить