четверг, 24 июня 2021 г.

Положение по сертификации ФСТЭК хочет перемен?


   Попытка ФСТЭК актуализировать собственное Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55, традиционно споткнулось об отрицательное заключение Минэкономразвития.

  Что же не понравилось общественности и регулятору?

   Оригинально, но через три года вступления в силу действующего Положения по сертификации СЗИ, Минэкономразвития делает заключение о частичном не соответствии его с вышестоящем ПП № 608 «О сертификации средств защиты информации». В блоге писал про это еще на стадии внедрения действующего положения - https://valerykomarov.blogspot.com/2018/05/blog-post_17.html

№ 18961-АХ/Д26и от 17.06.2021

ЗАКЛЮЧЕНИЕ

об оценке регулирующего воздействия на проект приказа ФСТЭК России

«О внесении изменений в Положение о системе сертификации средств защиты

информации, утвержденное приказом Федеральной службы по техническому

и экспортному контролю от 3 апреля 2018 г. № 55»

В целях подготовки настоящего заключения в соответствии с пунктом 28 Правил Минэкономразвития России проведены дополнительные публичные консультации по проекту акта в срок с 7 по 11 июня 2021 года. В рамках проведенных публичных консультаций поступила позиция Ассоциации операторов телефонной связи, приведенная
в приложении к настоящему заключению.

На основании представленных разработчиком материалов по предлагаемому регулированию к проекту акта могут быть сделаны следующие замечания.

Проектом акта не предусмотрены переходные положения. При этом проектом акта устанавливаются обязательные требования в понимании Федерального закона
от 31 июля 2020 г. № 247-ФЗ «Об обязательных требованиях в Российской Федерации» (далее – Закон об обязательных требованиях).

В соответствии с частью 1 статьи 3 Закона об обязательных требованиях положения нормативных правовых актов, устанавливающих обязательные требования, должны вступать в силу либо с 1 марта, либо с 1 сентября соответствующего года, но не ранее чем по истечении девяноста дней после дня официального опубликования соответствующего нормативного правового акта, если иное не установлено федеральным законом или международным договором Российской Федерации.

Таким образом, считаем необходимым предусмотреть срок вступления в силу проекта акта и переходный период.

В проекте акта отсутствуют положения, касающиеся маркирования средств защиты информации, которые промаркированы в настоящее время в соответствии
с действующим порядком, что не позволяет однозначно определить объекты регулирования проекта акта. Вместе с тем распространение новой системы маркирования
на уже выпущенные СЗИ может потребовать значительного времени и издержек заявителей.

Дополнительно отмечаем, что в соответствии с частью 4 статьи 3 Закона
об обязательных требованиях нормативным правовым актом Правительства Российской Федерации, федерального органа исполнительной власти или уполномоченной организации, содержащим обязательные требования, должен предусматриваться срок его действия, который не может превышать шесть лет со дня его вступления в силу,
за исключением случаев, установленных федеральным законом или принятым
в соответствии с ним нормативным правовым актом Правительства Российской Федерации.

В этой связи полагаем целесообразным установить срок действия Действующего положения в проекте акта.

С учетом изложенного по результатам оценки регулирующего воздействия Минэкономразвития России может быть сделан вывод о том, что:

положения проекта акта не соответствует Закону об обязательных требованиях;

- наличие проблемы и целесообразность ее решения с помощью регулирования, предусмотренного проектом акта, разработчиком обоснованы;

- в проекте акта выявлены положения, вводящие избыточные обязанности, запреты и ограничения для физических и юридических лиц в сфере предпринимательской и иной экономической деятельности или способствующие их введению, а также положения, приводящие к возникновению необоснованных расходов физических и юридических лиц в сфере предпринимательской и иной экономической деятельности, а также бюджетов всех уровней бюджетной системы Российской Федерации.

Отдельно представляется необходимым отметить следующее.

Нормы проекта акта и Действующего положения не в полной мере корреспондируют нормам постановления Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» (в редакции от 21 апреля 2010 г., далее – Постановление № 608), например, в части схем проведения сертификации (не может быть проведена проверка технической поддержки СЗИ), маркировки СЗИ знаком соответствия, взаимодействия участников системы сертификации (взаимодействие заявителя и испытательной лаборатории).

Представляется, что Постановление № 608 нуждается в актуализации. В этой связи считаем необходимым проработать вопрос внесения изменений в указанный нормативный правовой акт.

Дополнительно полагаем целесообразным предусмотреть в пункте 52 Действующего положения возможность направления комплекта документов в электронном виде в полном объеме.

          Позиция Ассоциации операторов телефонной связи:

Отмена второго абзаца создает правовую неопределенность, поэтому может быть использовано для давления на производителя и пользователя.

Нужна четкая формулировка, что может и должен делать каждый производитель и пользователь.

Что делать пользователю, если производитель не продлевает сертификат? В такое положение может попасть бюджетное учреждение и его работа может быть так парализована из-за жестких процедур закупки нового оборудования через бюджеты.

Если пункт 66 Приказа устранить, тогда в какой срок будет рассматриваться заявка? Срок пропадает, возникает коррупционная неопределенность. Пункт 66 нужно оставить.



* Раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.


** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


*** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite


**** YouTube - канал блога


***** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1


****** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий