понедельник, 9 марта 2020 г.

Новые полномочия ФСТЭК по аттестации ИС


   На https://regulation.gov.ru/projects#npa=99909 размещен для общественного обсуждения "Проект Указа Президента Российской Федерации «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085». Проект разработан по поручению Заместителя Председателя Правительства Российской Федерации Д.Чернышенко от 12 февраля 2020 г. № ДЧ-П10-813. До 13 марта можем вносить свои предложения и замечания.

  Начнем с пояснительной записки.
"Проектом Указа предусмотрено наделение ФСТЭК России полномочиями по установлению порядка организации и проведения работ по аттестации объектов информатизации и государственных информационных систем на соответствие требованиям по защите информации, в том числе требований к форме и содержанию разрабатываемых при проведении таких работ документов, а также изданию нормативных правовых актов, разработке и утверждению методических документов по данному вопросу, контролю
за реализацией данного порядка».
    Сам указ не большой.
дополнив пункт 8 подпунктом 13.3 следующего содержания: 
«13.3) устанавливает в пределах своей компетенции порядок организации и проведения работ по аттестации объектов информатизации и государственных информационных систем
на соответствие требованиям по защите информации, в том числе требования к форме и содержанию разрабатываемых при проведении таких работ документов, а также издает нормативные правовые акты, разрабатывает и утверждает методические документы по данному вопросу, осуществляет контроль за реализацией данного порядка;».

   Непонятно, почему выделены ГИС отдельно. Почему нет упоминания о муниципальных ИС? А что с аттестацией ИСПДн по 21 приказу? Что с аттестацией ЗОКИИ по 239 приказу. ФСТЭК не желает осуществлять контроль за аттестацией ЗОКИИ, если ЗОКИИ не ГИС?

ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

"объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров."

   Отдельный вопрос возникает по причине возникновения этой инициативы в принципе. Зачем ФСТЭК потребовалось прописывать отдельным пунктом себе право на организацию работ по аттестации?
Сейчас у ФСТЭК полномочия исключительно по сертификации!
"осуществляет в порядке, устанавливаемом Правительством Российской Федерации, аккредитацию органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну;"

Рассмотрим историю вопроса."Положение о сертификации средств защиты информации по требованиям безопасности информации" (утв. Приказом Гостехкомиссии РФ от 27.10.1995 N 199)СПС "Консультант" указывает, что действие данного документа прекращено с 1 августа 2018 года в связи с изданием Приказа ФСТЭК России от 03.04.2018 N 55, утвердившего Положение о системе сертификации средств защиты информации (информационное сообщение ФСТЭК России от 21.08.2018).Таким образом, с 1 августа 2018 года прекратили свое действие и положения по аттестации/ типовое положение об органе по аттестации, так как они разработаны на основании отмененного "Положения о сертификации продукции по требованиям безопасности информации".Положение по аттестации объектов информатизации по требованиям безопасности информации (утв. Гостехкомиссией РФ 25.11.1994)"Система аттестации объектов информатизации по требованиям безопасности информации (далее - система аттестации) является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее - федеральный орган по сертификации и аттестации), которым является Гостехкомиссия России.
ТИПОВОЕ ПОЛОЖЕНИЕ об органе по аттестации объектов информатизации по требованиям безопасности информации. Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 5 января 1996 г. N 3. "Орган по аттестации может формироваться из состава специальных центров Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссия России), отраслевых и региональных учреждений, предприятий и организаций по защите информации.Орган по аттестации аккредитуется государственным органом по сертификации продукции и аттестации объектов информатики по требованиям безопасности информации (далее - государственный орган по сертификации и аттестации), которым является Гостехкомиссия России в пределах ее компетенции, определенной законодательными актами Российской Федерации. 
Для наглядности:1. Версия Гостехкомисии."Система сертификации средств защиты информации по требованиямбезопасности информации включает в себя аттестацию объектовинформатизации <*> по требованиям безопасности информации.Основные принципы, организационная структура системы аттестацииобъектов информатизации по требованиям безопасности информации,правила проведения, а также другие вопросы аттестации определяются"Положением по аттестации объектов информатизации по требованиямбезопасности информации"Федеральный орган по сертификации средств защиты информации впределах своей компетенции осуществляет следующие функции:

аккредитует органы по сертификации, испытательные центры
(лаборатории) и органы по аттестации объектов информатизации;

2. Версия ФСТЭК.
"ФСТЭК России в соответствии с подпунктами 13 и 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, организует проведение сертификации средств защиты информации, разрабатывает и устанавливает в пределах своей компетенции требования по безопасности информации к средствам защиты информации, а также в соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608, выполняет функции федерального органа по сертификации."
Итог: Нет никаких упоминаний про аттестацию ни в ПП 608, ни в действующем документе ФСТЭК по сертификации.

Вывод: ФСТЭК осуществляла функции федерального органа по сертификации и аттестации до 1 августа 2018 года, так как является правоприемником Гостехкомисии. И может действовать на основании нормативных документов Гостехкомиссии. После выпуска собственного Положения о системе сертификации в 2018 году, действия нормативных документов Гостехкомиссии по сертификации и аттестации прекратили свое действие, ФСТЭК почти два года имеет статус исключительно федерального органа по сертификации, но не по аттестации.
Собственно, инициативу ФСТЭК по сертификации в 2018 году я критиковал именно за "кривизну" процедуры изменения действующей законодательной базы.
https://valerykomarov.blogspot.com/2018/04/blog-post_17.html

       Вот и вынуждена теперь ФСТЭК проходить отдельную процедуру с Указом Президента России. Вопрос квалификации сложившейся за эти два года ситуации  и роли каждого участника процесса с точки зрения надзора за соблюдением законодательства очень интересный...

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
******Группа вконтакте https://vk.com/klub187fz

2 комментария:

  1. То, что ГИС выделены отдельно, логично. ГИС сложно назвать объектом информатизации, поскольку аттестуется она не как ОИ (помещения с начинкой), а как ИС (технологии, сетевые соединения и пр). Да и в определении "Объект информатизации" ИС не упоминается.

    Проверять правильность аттестации ИСПДН/ЗОКИИ ФСТЭК формально не в праве: там аттестация добровольная, а в ГОСТ по аттестации сказано, что ФСТЭК является участником только в случае обязательной аттестации. Проверяться будет выполнение требований к защите, а не качество аттестации.

    Они бы лучше со сроком действия аттестата порядок навели, а то ведь на ИСПДн/ЗОКИИ больше, чем на 3 года нет оснований выдавать...

    ОтветитьУдалить
  2. В 149-фз отдельно выделены МИС, но при этом на них распространяются требования как к ГИС.

    ОтветитьУдалить