понедельник, 18 мая 2020 г.

Вот и положению по сертификации ФСБ досталось от Минэкономразвития


   Минэкономразвития дало разгромное отрицательное заключение на проект приказа ФСБ России «Об утверждении Положения о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и Перечня средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну». Самостоятельно, без  получения мнения от участников рынка.
   Ситуация аналогичная с положением сертификации ФСТЭК, желания регуляторов не совпадают с возможностями в Постановлении Правительства от 26 июня 1995 г. № 608.

https://regulation.gov.ru/projects#search=02/08/01-20/00098843&npa=98843
№ 14952-АХ/Д26и от 13.05.2020 г.
ЗАКЛЮЧЕНИЕ
об оценке регулирующего воздействия на проект приказа ФСБ России «Об утверждении Положения о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и Перечня средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну»
  В настоящее время сертификация средств защиты информации (далее – СЗИ) 
‎по требованиям безопасности для сведений, составляющих государственную тайну, проводится в соответствии с приказом ФСБ России от 13 ноября 1999 г. № 564 
‎«Об утверждении положений о системе сертификации средств защиты информации 
‎по требованиям безопасности для сведений, составляющих государственную тайну, 
‎и о ее знаках соответствия». Проектом акта предлагается регулирование указанных вопросов привести в соответствие с действующим законодательством.
   В целях подготовки настоящего заключения в соответствии с пунктом 28 Правил Минэкономразвития России проведены дополнительные публичные консультации по проекту акта в срок с 21 апреля по 27 апреля 2020 года. В рамках проведенных публичных консультаций позиции субъектов предпринимательской деятельности не поступали.
  Однако на основании анализа полученных материалов представляется необходимым сделать следующие замечания к проекту акта.
   1. Отдельные положения проекта акта не корреспондируют нормам Положения 
‎о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 (далее – Положение 
‎№ 608).

  1. 1. В соответствии с разделом V проекта акта решение на проведение сертификации принимается ФСБ России. В соответствии с пунктом 6 проекта акта ФСБ России выполняет функции федерального органа по сертификации. 

При этом в соответствии с пунктом 3 Положения № 608 федеральный орган 
‎по сертификации не наделен указанными полномочиями.

  Вместе с тем решение о проведении сертификации в соответствии с пунктом 8 Положения № 608 принимают органы по сертификации, которыми в соответствии 
‎с пунктом 5 проекта акта являются организации, аккредитованные ФСБ России 
‎в качестве органов по сертификации. 
  Аналогичное замечание можно сделать в отношении подачи заявки на сертификацию. Так, в соответствии с пунктом 19 проекта акта заявка на сертификацию подается 
‎в ФСБ России. Однако в соответствии с пунктом 8 Положения № 608 изготовитель должен подавать заявку в орган по сертификации.
   1.2. В соответствии с пунктом 5 проекта акта участниками системы сертификации ФСБ России являются, помимо прочих, изготовители средств защиты информации.
  К изготовителям в соответствии с пунктом 2 Положения № 608 относятся продавцы и исполнители продукции.
   Вместе с тем в соответствии с пунктом 10 проекта акта заявителями 
‎на осуществление сертификации являются не только изготовители СЗИ, но и федеральные органы государственной власти, Центральный Банк Российской Федерации, органы управления государственными внебюджетными фондами Российской Федерации, органы государственной власти субъектов Российской Федерации, органы местного самоуправления и организации, планирующие применять СЗИ.
   Необходимо отметить, что в соответствии с пунктом 2 Положения № 608 
‎и пунктом 5 проекта акта указанные лица не отнесены к участникам сертификации СЗИ.
   1.3. В соответствии с пунктом 22 проекта акта ФСБ России принимает решение 
‎о проведении сертификации в месячный срок со дня получения заявки на сертификацию. Далее в соответствии с пунктом 25 проекта акта уведомление об отказе в проведении сертификации СЗИ или уведомление о необходимости доработки заявки на сертификацию и (или) прилагаемого к ней документа в срок не более 3 рабочих дней со дня принятия решения подписывается уполномоченным должностным лицом ФСБ России и вручается заявителю или направляется ему почтовым отправлением с уведомлением о вручении.
   Однако в соответствии с пунктом 8 Положения № 608 решение о проведении сертификации направляется изготовителю в месячный срок после получения заявки. Следовательно, сроки, установленные проектом акта, превышают сроки, установленные Положением № 608.
    Более того, представляется, что устанавливаемый срок для уведомления 
‎о необходимости доработки заявки на сертификацию и (или) прилагаемого к ней документа избыточен, поскольку в соответствии с пунктом 23 проекта акта доработка проводится 
‎в случае отсутствия необходимых сведений или документов. То есть для принятия решения о необходимости доработки заявки на сертификацию представляется достаточным проверить комплектности представленных сведений и документов.
  В этой связи полагаем целесообразным привести положения проекта акта 
‎в соответствие Положению № 608.
   2. Также положения проекта акта не корреспондируют нормам Федерального закона от 27 декабря 2012 г. № 184-ФЗ «О техническом регулировании» (далее – Закон 
‎о техническом регулировании).
   Так, в соответствии с частью 2 статьи 26 Закона о техническом регулировании орган по сертификации привлекает на договорной основе для проведения исследований (испытаний) и измерений аккредитованные испытательные лаборатории (центры). При этом частью 4 статьи 26 Закона о техническом регулировании установлен запрет на предоставление органом по сертификации на предоставление испытательным лабораториям сведений о заявителе.
Однако в соответствии с пунктом 18 проекта акта заявитель самостоятельно 
‎на основании сведений из реестра аккредитованных органов по сертификации 
‎и испытательных лабораторий (центров), предоставленных ФСБ России или опубликованных на официальном сайте ФСБ России в информационно-телекоммуникационной сети «Интернет», выбирает для проведения сертификационных испытаний средства защиты информации испытательную лабораторию, согласовывает с ней возможность и сроки проведения сертификационных испытаний. Вместе с тем ‎в соответствии с пунктом 28 проекта акта заявитель должен самостоятельно заключать договор с испытательной лабораторией.
  То есть в соответствии с Законом о техническом регулировании и пунктом 8 Положения № 608 заявитель должен обратиться в орган по сертификации. Орган 
‎по сертификации должен принять решение о сертификации, передать СЗИ для проведения сертификационных испытаний в испытательную лабораторию и по результатам проведенных испытаний подготовить заключение по результатам сертификации СЗИ.
  Проектом акта предлагается заявителю заключить договор с испытательной лабораторией, обратиться с заявкой на сертификацию в ФСБ России, получить решение 
‎о необходимости проведения сертификации от ФСБ России. Далее заявителю необходимо представить документацию в орган по сертификации и испытательную лабораторию в целях предварительного рассмотрения полученных документов и образца СЗИ. Далее испытательная лаборатория проводит сертификационные испытания под наблюдением органа по сертификации, передает протоколы испытаний и заключение по результатам сертификационных испытаний в орган по сертификации, а орган по сертификации после изучения полученных материалов подготавливает заключение по результатам сертификации СЗИ. 
При этом представляется, что орган по сертификации и испытательная лаборатория, несмотря на взаимоотношения в части сертификации СЗИ, не имеют между собой договора.
Таким образом, модель взаимоотношений, предусмотренная проектом акта, 
‎не соотносится с моделью по организации сертификации, устанавливаемой Законом 
‎о техническом регулировании и Положением № 608, и усложняет процесс сертификации СЗИ.
   3. Проектом акта устанавливаются требования не только к продукции, подлежащей сертификации, но и к осуществлению заявителем технической поддержки СЗИ, то есть устанавливаются обязанности по информированию потребителей об обновлении программного обеспечения СЗИ, доведению до потребителей обновлений программного обеспечения СЗИ, а также изменений в эксплуатационную документацию. Кроме того, пунктом 11 проекта акта устанавливаются требования к лицам, осуществляющим такую техническую поддержку, а именно, такие лица должны быть российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц 
‎и (или) юридических лиц.
В соответствии со статьей 28 Закона Российской Федерации от 21 июля 1993 г. 
‎№ 5485-1 «О государственной тайне» (далее – Закон о гостайне) СЗИ должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. При этом Законом о гостайне не предусмотрена возможность установления ФСБ России требований к лицам, осуществляющим техническую поддержку таких СЗИ. 
Кроме того, пунктом 1 Положения № 608 устанавливается требование только 
‎к производителю в момент производства СЗИ, а именно, криптографические (шифровальные) СЗИ должны быть отечественного производства.
Однако пунктом 11 проекта акта ограничивается круг лиц, обеспечивающих техническую поддержку (только заявитель, за исключением случаев, когда заявитель 
‎не является изготовителем СЗИ либо СЗИ больше не выпускается).
Более того, пунктом 12 проекта акта схемы сертификации СЗИ предусматривают 
‎не только испытания образца СЗИ, но и проверку организации технической поддержки СЗИ. При этом указанное дополнительное действие не предусмотрено основными схемами проведения сертификации, установленными пунктом 8 Положения № 608.
Учитывая, что предметом оценки соответствия, а именно сертификации СЗИ, является оценка соответствия продукции установленным требованиям, представляется, что дополнительные обязанности к изготовителю СЗИ не должны быть установлены на уровне проекта акта. В этой связи указанное требование может быть частью требований 
‎по безопасности к продукции, а не устанавливаться в проекте акта.
   4. Проектом акта отдельно предусматривается полномочие по организации экспертизы материалов сертификационных испытаний ФСБ России.
   4.1. В соответствии с пунктом 55 проекта акта ФСБ России проводит экспертизу материалов по сертификации СЗИ, включающую контрольные и (или) встречные испытания СЗИ.
Однако, указанные полномочия не соотносятся с функциями, обозначенными 
‎для федерального органа по сертификации в пункте 5 Положения № 608. 
Кроме того, в соответствии с Указом Президента Российской Федерации 
‎от 11 августа 2003 г. № 960 «Вопросы Федеральной службы безопасности Российской Федерации» проведение дополнительной экспертизы материалов сертификационных испытаний не входит в полномочия ФСБ России, поскольку фактически указанный этап входит в процедуру сертификации, которую осуществляют органы по сертификации.
Таким образом, проект акта в том числе предусматривает процедуру экспертизы материалов сертификационных испытаний, не предусмотренную действующим законодательством.
   4.2. Вместе с тем в соответствии с пунктом 47 проекта акта по результатам испытаний оформляется техническое заключение, подтверждающее соответствие/несоответствие средства защиты информации установленным обязательным требованиям, в том числе требованиям по безопасности информации. 
После указанной процедуры в соответствии с пунктом 51 проекта акта органом 
‎по сертификации проводится проверка поступивших материалов испытаний 
‎на соответствие их в том числе требованиям по безопасности информации. Таким образом, фактически процедура подтверждения соответствия средства защиты информации установленным требованиям по безопасности информации производится дважды. 
Более того, в соответствии с пунктом 55 проекта акта ФСБ России проводит контрольные испытания СЗИ, то есть фактически повторно осуществляет испытания СЗИ, но уже в меньшем объеме.
При этом в соответствии с пунктом 41 проекта акта программа и методики уже утверждены органом по сертификации, по результатам испытаний испытательными лабораториями подготовлено заключение, а сами испытательные лаборатории аккредитованы ФСБ России. При этом проектом акта фактически устанавливается контроль аккредитованных ФСБ России органов по сертификации за аккредитованными ФСБ России испытательными лабораториями. 
Более того, на практике экспертиза, осуществляемая ФСБ России, по сути, дублирует контроль за аккредитованными этим же органом лицами. В этой связи представляется целесообразным исключить повторную процедуру подтверждения соответствия средства защиты информации.
   4.3. Кроме того, следует отметить отсутствие в проекте акта процедуры отбора экспертов по сертификации для проведения указанной экспертизы. 
   4.4. Также следует отметить, что в соответствии с частью 4 статьи 26 Закона 
‎о техническом регулировании аккредитованная испытательная лаборатория (центр) оформляет результаты исследований (испытаний) и измерений соответствующими протоколами, на основании которых орган по сертификации принимает решение о выдаче или об отказе в выдаче сертификата соответствия.
Пунктом 47 проекта акта по результатам проведенных испытаний предполагается создание испытательными лабораториями двух документов – протоколов испытаний 
‎и технического заключения. 
На основании вышеизложенного представляется, что положения проекта акта 
‎не корреспондируют нормам Закона о техническом регулировании.
Таким образом, считаем необходимым доработать проект акта по представленным замечаниям в части проведения процедур сертификации.
В этой связи представляется целесообразным исключить из пункта 55 проекта акта отдельный этап экспертизы.
   5. Отдельные положения проекта акта в части сертификационных испытаний СЗИ (глава VI проекта акта) регламентируют участие органа по сертификации 
‎в сертификационных испытаниях. Однако сертификационные испытания в соответствии 
‎с пунктом 6 Положения № 608 должны проводиться испытательными лабораториями.
Так, заявитель в соответствии с пунктом 36 проекта акта должен обеспечить возможность предварительного ознакомления с образцом средства защиты информации как испытательной лаборатории, так и органа по сертификации.
В соответствии с пунктом 38 проекта акта испытательная лаборатория осуществляет предварительное рассмотрение образца СЗИ и документации на него совместно с органом по сертификации. При этом перечень выявленных недостатков с предложениями 
‎по их устранению подготавливается испытательной лабораторией, утверждается органом 
‎по сертификации. Кроме того, контроль за устранением выявленных недостатков осуществляется органом по сертификации, который в случае, если выявленные недостатки не устранены в сроки, предусмотренные договором на проведение сертификационных испытаний средства защиты информации, представляет в ФСБ России предложение ‎об отказе в выдаче сертификата соответствия и извещает об этом заявителя.
В соответствии с пунктом 42 проекта акта испытательная лаборатория осуществляет отбор образца (образцов) средства защиты информации, необходимого (необходимых) 
‎для проведения сертификационных испытаний также совместно с органом 
‎по сертификации.
Более того, орган по сертификации в соответствии с пунктом 44 проекта акта осуществляет контроль проведения сертификационных испытаний.
На основании изложенного фактически складывается ситуация, при которой одно юридическое лицо, аккредитованное ФСБ России, будет осуществлять контроль 
‎за деятельностью другого юридического лица, аккредитованного ФСБ России. 
  5.1. Более того, фактически в соответствии с положениями проекта акта контроль 
‎за проведением сертификационных испытаний органом по сертификации осуществляется 
‎в момент проведения сертификационных испытаний. Далее проверка полноты сертификационных испытаний и оценка поступивших материалов осуществляется еще раз органом по сертификации в соответствии с разделом VII проекта акта. Указанная конструкция с двойным контролем (не считая аккредитации испытательных лабораторий ФСБ России) представляется избыточной.
  5.2. Также следует отметить, что проектом акта устанавливается возможность присутствия органа по сертификации при проведении сертификационных испытаний, однако сокращенные сроки подготовки заключения по результатам сертификации СЗИ ‎не предусматриваются, а используются общие сроки – 45 рабочих дней. 
Учитывая снижение трудозатрат органа по сертификации в указанном случае, представляется необходимым сократить указанные сроки.
  5.3. Следует отметить, что в соответствии с частью 2 статьи 26 Закона о техническом регулировании отбор образцов для целей сертификации и представление их для проведения исследований (испытаний) осуществляет орган по сертификации единолично либо поручает осуществить отбор испытательной лаборатории, что не соотносится с порядком, предусмотренным пунктом 42 проекта акта.
  5.4. Также следует отметить, что в настоящее время перечень организаций, аккредитованных в системе сертификации СЗИ по требованиям безопасности для сведений, составляющих государственную тайну, состоит из 52 организаций, расположенных 
‎в различных субъектах Российской Федерации.
В этой связи взаимодействие испытательной лаборатории с органом ‎по сертификации, в том числе личное присутствие, может быть затруднено, а также сопряжено с увеличением времени сертификации СЗИ на согласование даты проведения сертификационных испытаний.
  5.5. Фактически пунктом 39 проекта акта устанавливается обязанность органа 
‎по сертификации по информированию ФСБ России о нарушении срока договоров, заключенных между заявителем и испытательной лабораторией, и предложению об отказе в выдаче сертификата соответствия. Учитывая, что орган по сертификации не является стороной договора, 
‎а ответственность в результате нарушений обязательств, закрепленных в договоре, установлена самим договором, двойное наказание за одно и то же нарушение не может быть поддержано.
  6. Проектом акта не в полной мере регламентированы сроки отдельных этапов сертификации. 
Так, например, в пункте 32 проекта акта не определен срок для отказа в переоформлении решения о проведении сертификации СЗИ. 
Также в пунктах 32, 33 не определен срок для аннулирования решения о проведении сертификации СЗИ и направления уведомления об аннулировании такого решения.
Кроме того, пунктом 55 проекта акта устанавливаются сроки для ФСБ России 
‎на проведение экспертизы поступивших материалов и проведение повторных испытаний, однако не установлены сроки направления материалов на доработку.
Отсутствие указанных сроков способно привести к общему увеличению сроков сертификации.
  7. Ряд положений проекта акта повторяет отдельные нормы федерального законодательства либо содержит ссылки на них, в связи с чем отмечаем, что в этой части проект акта не имеет самостоятельного предмета регулирования.

  По результатам оценки регулирующего воздействия Минэкономразвития России может быть сделан вывод о том, что:

- наличие проблемы и целесообразность ее решения с помощью регулирования, предусмотренного проектом акта, обоснованы; 


- в проекте акта выявлены положения, которые вводят избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствуют их введению, а также способствуют возникновению необоснованных расходов субъектов предпринимательской и иной деятельности или способствуют возникновению необоснованных расходов бюджетов всех уровней бюджетной системы Российской Федерации.





* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

9 комментариев:

  1. Один проверяет за другим, притом что делают фактически вместе, потом оба докладывают в ФСБ один на другого и там ещё раз всё сначала проверяют... Такой почерк у конторы, наследие.

    Неудивительно, что даже многолетним участникам этой системы провести сертификацию СЗИ в ФСБ очень сложно и долго.

    И самое главное, реальной безопасности программный продукт после 1-2-х летнего цикла сертификации обычно уже не обеспечивает. Сразу после завершения сертификации нужно начинать новую, чтобы дыры залатать.

    ОтветитьУдалить
    Ответы
    1. видимо такая ситуация всех устраивает. На этапе общественного обсуждения предложений от граждан не поступило. В минэкономразвития из организаций никто замечаний не прислал при экспертизе проекта положения.

      Удалить
    2. Все же прекрасно понимают, что если прислать замечания, потом сертификат не получишь никогда. Дураков нет.

      Удалить
    3. на ФСТЭК замечания не боятся подавать

      Удалить
    4. Правильно. ФСТЭК старается придерживаться своего Положения и играть по правилам.

      Удалить
  2. Интересно, что в положение о сертификации ФСТЭК есть аналогичный пункт "10. Заявителями на осуществление сертификации являются изготовители, а также федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления и организации, планирующие применять средства защиты информации.".
    И спокойно было согласовано Минэкономразвития в 2018 году. То ли упоминание ЦБ привело к замечанию, то ли и ФСТЭКовское положение в полной мере не соответствует нормам российского законодательства.

    ОтветитьУдалить
  3. По-моему, это все напрасная трата времени. Все равно ФСБ будет проводить сертификацию так, как сочтет нужным, не важно что там будет написано в Положении. У них всегда индивидуальный подход. Своим действующим Положением они руководствуются очень творчески и вряд ли станут менять эту практику.

    ОтветитьУдалить
    Ответы
    1. Зачем тогда они его решили поменять?

      Удалить
    2. Насколько я знаю, это не их решение. Есть указание то ли Правительства, то ли Президента. Все федеральные органы по сертификации СЗИ меняют: старые положения писались до закона "О тех. регулировании". ФСТЭК, кстати, уложилась в установленные сроки.

      Удалить