Опубликован Приказ ФСТЭК России от 05.08.2021 N 121 "О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. N 55". Вступит в силу 07.11.2021 года.
Основной интерес вызвали следующие изменения в тексте:
2. Пункт 14 дополнить абзацами следующего содержания:
"Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям по безопасности информации и изготовитель и (или) заявитель осуществляют его техническую поддержку.
Для единичного образца или партии средства защиты информации срок действия сертификата соответствия не устанавливается.".
3. Абзац второй пункта 15 признать утратившим силу.
Теперь это выглядит так:
«14. Срок действия сертификата соответствия не может превышать 5 лет.
Сертификат соответствия выдается на срок, указанный в заявке на сертификацию.
Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям по безопасности информации и изготовитель и (или) заявитель осуществляют его техническую поддержку.
Для единичного образца или партии средства защиты информации срок действия сертификата соответствия не устанавливается.
15. По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия.»
А было совсем по другому:
14. Срок действия сертификата соответствия не может превышать 5 лет.
Сертификат соответствия выдается на срок, указанный в заявке на сертификацию.
15. По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия.
Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки.
Внесение таких изменений полностью поддерживаю, поскольку еще на стадии утверждения 55 приказа ФСТЭК в 2018 году, указывал на нестыковку между п. 5 и п.15. приказа.
Применяет СрЗИ пользователь, а не производитель. И пользователи СрЗИ не входят в лица, чью деятельность регулирует Положение сертификации:
5. Участниками системы сертификации ФСТЭК России являются:
федеральный орган по сертификации;
организации, аккредитованные ФСТЭК России в качестве органа по сертификации (далее - органы по сертификации);
организации, аккредитованные ФСТЭК России в качестве испытательной лаборатории (далее - испытательные лаборатории);
изготовители средств защиты информации.
Пользователь СрЗИ руководствуется другими НПА, которые не допускают использование СрЗИ с истекшим сроком действия.
Установлена административная ответственность по ч.2 ст.13.12 КоАП и попытки оспорить в суде ее применение за просроченный сертификат, выявленный во время проверки ФСБ/ФСТЭК, обычно неудачные. Используются примерно такие формулировки:
«"Совершение Министерством административного правонарушения, предусмотренного ч. 2 ст. 13.12 КоАП РФ подтверждается собранными по делу доказательствами.
…..Действующих сертификатов соответствия на указанные средства защиты информации на момент проведения проверки Министерством представлено не было.»
Или
«Как установлено должностным лицом, а впоследствии судами первой и второй инстанций, в …. эксплуатируется аппаратно- программный комплекс защиты информации «...», срок действия сертификата соответствия истек в ...г. . Главным специалистом-экспертом отдела информационных технологий … не приняты меры в отказе использования ...... или замене его на изделие имеющего сертификат соответствия».
Теперь противоречие между разными НПА устранено. Однозначно запрещено использование несертифицированного СрЗИ, если такое требование установлено законодательно (ГИС, МИС и т.д.). Проблемы пользователей СрЗИ обсуждали - https://valerykomarov.blogspot.com/2019/05/blog-post_14.html
Но возникает вопрос трактовки внесенных изменений.
Версия № 1.
Изделия выпущенные в промежутке между окончанием срока действия сертификата и началом действия нового/продленного сертификата – не считаются сертифицированными.
Версия № 2.
Изделие считается сертифицированным даже по окончанию срока действия сертификата, если обеспечивается техподдержка производителя.
P.S. В рабочем порядке получен комментарий от ФСТЭК, что правильным считается вариант 2. Средство защиты информации с истекшим сроком действия сертификата при определенных условиях продолжает считаться сертифицированным и может применятся для защиты ГИС и иных систем.
Раздел "Правоприменительная практика по ст.274.1 УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" на главной страницы блога - https://valerykomarov.blogspot.com/p/2741.html
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
Комментариев нет:
Отправить комментарий