О 330-м Постановлении Правительства я уже писал. Около месяца назад задался целью получения официального текста этого постановления. Организовал запрос в ФСТЭК. И вот на днях был получен ответ. Ответ, если убрать преамбулу, следующий: «Сообщаем, что Правительством РФ для указанного постановления установлена ограничительная пометка «Для служебного пользования». Учитывая изложенное, указанное постановление может быть предоставлено только организациям, имеющим соответствующую лицензию Службы«.
Вот я и думаю, что теперь я со спокойной совестью, опираясь на ответ ФСТЭК, а также ФЗ-152, ПП-1009 и ФЗ-294, могу не использовать сертифицированные решения по защите персданных. Ибо такого требования я в публичном доступе не видел, а регулятор отказал мне в доступе к документу, который «по слухам» это требование содержит.
Алексей, прокомментируйте пожалуйста вот эти пункты поставновления №781. Такое впечатление, что сертификацию никто не отменял, просто навели тень на плетень приказом №58 и этим 330-м ПП.
Из ПП №781:
"18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.
20. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. "
Вообще, по-моему, согласование со ФСТЭК — это и есть сертификация СВТ или аттестация АС. Другой процедуры не придумано?
А что комментировать-то? СЗИ должны быть сертифицированными. Вот и весь комментарий.
Если этот документ имеет статус ДСП, то какие лицензии необходимо иметь, чтобы его получить? ФСТЭК ответил отказом организации с лицензией на гостайну….
Я думаю ТЗКИшная нужна, т.к. ни ПП, ни ФЗ к ГТ не относятся. Либо они просто не хотят документ давать и находят различные отмазки.
Ну не все же могут получить лицензию на ТЗКИ. Интересная позиция ФСТЭК получается: мы будем вас драть по требованиям 330 ПП, выписывать штрафы, а сам документ мы вам показать не можем — фигушки! И как это называется?
Это Россия!
Это оно?
http://www.info-law.ru/fed/2010/2/id_6777.html
Нет. Это 266-е. Но по тексту оно очень похоже на 330-е.
266-е ПП касается гостайны, и находится в открытом доступе. 330-е — ПДн и ДСП, и носит гриф ДСП. Парадокс, не правда ли? 🙂 Наши юристы тоже поначалу мне сказали, что я дескать перепутал номера — и вообще ПП "ДСП" это бред — уж не захворал ли я часом? Названия 330-го и 266-го поразительно похожи… Оранизация с ТЗКИ запросила, ждем-с 🙂
тут люди подсказывают, что обычно так поступают с документами, которые еще не готовы. Т.е. на отчетную дату отчитались, что ПП выпущено, а сейчас дописывают…как допишут гриф снимут 😉
2 gors
Комментарий №1 — если пройдут поправки Резника, то частные компании уйдут из под действия 781 ПП.
Комментарий №2.
Пункт 18 говорит о том, что ФСТЭК и ФСБ проводят только экспертизу оценки соответствия. Т.е., к примеру, им можно направить декларацию соответствия (правда там тоже не все ясно).
Пункт 19 — можно трактовать, например так, есть проект СЗПДн, который содержит эксплуатационную документацию, проект можно согласовать со ФСТЭК либо дождаться проверки и они его сами запросят и изучат — результат тоже можно будет считать согласованием.
Пункт 20 — а вот это реально самое сложное. Упомянутые здесь индексы и т.п. это, по сути, завуалированные требования по наличию СЗЗ, которые шлепают на все сертифицированные СрЗИ — здесь только надежда на то, что кто-то не справится с объемами учетной информации и скажет "Довольно". Но надежда слабая.
Алексей, неужели у Cisco до сих пор нет лицензии? А как же железки сертифицировать при производстве, а как же Сколково — не пустят ведь без оной? 🙂
А сертифицируем же не мы 😉 У MS тоже лицензии нет. А они и в ФСБ свой софт сертифицировали 😉
Закрытой ПП — это нормально. Есть и вообще секретные. Например, по критически важным объектам. Так что это в порядке вещей. Но именно в отношении 330 — это было нелогично
Действительно в 330 сказано, что оценка соответсвия проводится в форме обязательной сертификации.
Вообще, когда я услышал про 330-е (это было еще в апреле), представитель ФСТЭК по СЗФО сказал, что в нем будет прописана обязательность оценки соответствия по техническим условиям (он еще добавил фразу "оно уже вот-вот на выходе"). Что в результате вышло… 🙂 Центральный аппарат ФСТЭК работает в лучших традициях спецслужб — исполнители на местах делают свой кусок работы и не знают для чего он предназначен, а полной картиной обладает только мега-босс 🙂
"Закрытой ПП — это нормально. Есть и вообще секретные."
только вроде закрытые обычно нумеровались с дефисом, а тут без.
А некоторые еще и с приставкой "с" 😉
Алексей, как Вам такой ответ ФСТЭК? Запрос делала организация, имеющая ТЗКИ:
http://anvolkov.blogspot.com/2010/08/330.html
Замечательный ответ. Теперь можно вообще забить на него 😉 Раз уж и регулятор его не предоставляет, то откуда ж мне знать о его содержании 😉
Теперь и я, со спокойной совестью, могу не использовать сертифицированные СЗИ для защиты ПДн 🙂
наш фстэк ответил что предоставляют по запросу.
так что забить видимо нельзя.
запрос отправили.
Ну для начала вы должны знать о наличии такого ПП. А вы не знаете. Есть только слухи. Ни в одной системе нет даже реквизитов этого ПП.
мы применили mad skillz в виде лицензии тзки и получили док
А зачем? Загнали себя в угол
для имения в виду такого поворота событий.
вроде никуда не загнали.
330-ПП не относится к систем ПДН и на конфиденциальную информацию, не являющуюся государственным информационным ресурсом.
Исчо один 😉 Читай внимательно, убери двойное отрицание и получишь результат обратный