24.5.12

Новости ФСТЭК по сертификации

18 мая на сайте ФСТЭК было опубликовано информационное сообщение, разъясняющее позицию ФСТЭК в области оценки соответствия средств защиты информации. Предсказуемая и четко выстроенная логика:
  • для гостайны - ФЗ о гостайне -> ПП-608 -> обязательная сертификация
  • для других видов информации ограниченного доступа - ФЗ о техрегулировании -> ПП-330 -> обязательная сертификация. 

Оценка соответствия средств защиты вытекает из ПП-1085 (Об утверждении положения о ФСТЭК). Для оценки разработано много РД и планируется разработать еще немало новых РД - по средствам доверенной загрузки, по DLP и т.д.

У меня комментариев только два (если не вспоминать про гриф ДСП на ПП-330) - в 330-м постановлении говорится не обо всех видах защищаемой информации, а только о ПДн и государевых информационных ресурсах (даже КСИИ там нет). И второе. В качестве форм оценки соответствия в 330-м говорится не только об обязательой сертификации, но и госконтроле (надзоре). Иными словами, вы можете либо сертифицировать свои СЗИ, либо ждать когда вам укажут на отсутствие сертифицированных решений в процессе проверки ФСТЭК. А учитывая, что полномочий проверять коммерческие структуры у ФСТЭК нет, то выводы делайте сами.

ЗЫ. ФСТЭК имеет право проводить проверки своих лицензиатов и требовать от них выполнения своих требований.

4 коммент.:

Анонимный комментирует...

Судя по "и ГНИИИ ГГГЗИ ФСТЭК России" - скан распознан... а где опубликовано ?

Sergey Tolin комментирует...

На сайте ФСТЭК России http://www.fstec.ru/_lenta/_lno.htm

toparenko комментирует...

>- для других видов информации ограниченного доступа - ФЗ о техрегулировании -> ПП-330 -> обязательная сертификация.

Нифига.
Пусть учитывают статус их системы сертификации. Там нонсенс получается: обязательная сертификация в системе добровольной сертификации РОСС RU.0001.030001 и РОСС RU.0001.01БИ00

Алексей Лукацкий комментирует...

toparenko: Ну про это тоже немало копьев сломано ;-)