Что происходит в области ФЗ-152 (обзор)

Попросили в журнале CIO вести у них на сайте блог. Ну, а почему нет? Тем более, что особой частоты написания заметок пока не требуется. Первая заметка — обзор того, что происходит в области ФЗ-152 за последнее время. Учитывая, что основная аудитория сайта CIO — руководители ИТ-служб, то им некогда читать весь мой блог и рыскать в Интернете в поисках всей необходимой информации. Я в этом обзоре постарался свести воедино все, что сейчас делается.

ЗЫ. Вторая часть заметки.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. ded_Sergei

    Я бы еще отметил, что стали появляться отраслевые требования по защите персональных данных. Хотя это возможно как раз для части №2

    Ответить
  2. Анонимный

    По второй части ( http://www.cio-world.ru/blog/index.php?page=post&blog=aluk&post_id=88 ):

    >бороться с побочными электромагнитными излучениями и наводками. Обычно это реализуется такими устройствами, как генераторы шума, применение которых не только незаконно по действующему законодательству

    Скорее не незаконно, а "геморно". И более важен фактор наводок на мед. приборы.
    В Краснодарском РКН уже зарегили ГШ как СЗИ — http://23.rsoc.ru/news/news10888.htm

    Ответить
  3. doom

    >а декларирование соответствия в области информационной безопасности еще ждет своих первопроходцев.

    Что-то с учетом последних изменений в ФЗ "О техническом регулировании" и соответствующих ПП тема с декларированием соответствия стала какой-то совершенно непонятной…
    В частности — на что декларировать соответствие? Кому слать декларацию?

    Было бы интересно услышать информацию от тех, кто ближе к этой теме…

    Ответить
  4. Алексей Лукацкий

    toparenko: Ну на банкире эту тему обсуждали активно. Использование ГШ не в компетенции ФСТЭК, а ГКРЧ. Т.е. законно при условии получения всех необходимых разрешений, а это действительно геморрно.

    doom: На соответствие приказу 58. Слать во ФСТЭК. Сейчас по линии ФСБ такое сплошь и рядом. Там правда это называется нотификация и касается ввоза СКЗИ, но суть таже. Ты не проходишь обязательную процедуру, а самостоятельно на основании имеющихся нормативов декларируешь соответствие им.

    Ответить
  5. doom

    Да вот в том-то и дело, что не все так просто. Тех. регламента нет, значит ПП должно определять, что сертифицировать, а что можно декларировать. ПП у нас ушло от СрЗИ (как раз в конце прошлого года), сам закон оставил этот вопрос на откуп ФСБ и ФСТЭКу (статья 5).
    Ни тот, ни другой ничего про декларирование не сказали — а меж тем это одна из форм обязательного подтверждения соответствия.

    Ну а дальше еще веселее — форма декларации требует явного указания на соответствие какому тех. регламенту заявляется производитель — а тех. регламента нет — значит есть возможность развернуть декларацию, сказав, что она не соответствует принятой форме (и где же там наши антикоррупционщики?). Слать декларацию надо в орган по сертификации (т.е. в случае ФСТЭКа слать вообще куда-нибудь в ГНИИ ПТЗИ) — они могут сослаться на то, что реакция на декларации у них нигде не прописана.. Ну и т.п.

    В общем, если кто-то сможет зарегистрировать декларацию на соответствие 58-му приказу, то было бы очень интересно послушать как он это сделал и сколько времени это заняло.

    Ответить
  6. Анонимный

    если не сложно — попроси CIO чтобы кнопку сделали "версия для печати" плз.

    Ответить
  7. Анонимный

    Уважаемые, а кто мне объяснит какая связь осталась между СЗПДн и 184-ФЗ "О техническом регулировании" после Приказа 58 и изменений в 152-ФЗ?
    Внимательно перечитал статьи 184-ФЗ.
    К операторам ПДн это применимо только в части соблюдения обязательных правил наладки и эксплуатации продукции (СЗИ, сертифицированных оченвидно) или разработки и производства продуктов/услуг (лицензируемых — технической защиты информации) или явной оценки соответствия требованиям.
    Явные требования по аттестации/декларации соответствия защиты ИСПДн изъяли, лицензирование защиты самих себя вроде отменили, использование сертифицированных СЗИ в полном тумане. Таким образом, СЗПДн не подпадает ни под одну из существующих обязательных систем сертификации, а собственной еще не сложилось.
    А как правильно заметил doom, декларация есть форма подтверждения соответствия обязательному техрегламенту для получения сертификата соответствия и/или знака обращения на рынке.
    (Приказ 58 можно назвать опубликованным техрегламентом?)
    Я лично рекомендую при вводе в эксплуатацию, в рамках приемо-сдаточных испытаний проверять СЗПДн на соответствие разработанным оператором требованиям, оформлять соответствующими Актами и класть "под сукно, до востребования" — ибо 781-ПП требует и имеют право проверить.

    Ответить
  8. doom

    2 vorpoul:
    ФЗ "О тех. регулировании" имеет отношение к СЗПДн своей статьей 5 в новой редакции:

    1. В отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу; продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; продукции (работ, услуг), сведения о которой составляют государственную тайну; продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии; процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения соответственно указанной продукции и указанных объектов обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, государственного управления использованием атомной энергии, государственного регулирования безопасности при использовании атомной энергии, и (или) государственными контрактами (договорами).

    Т.е. ФСТЭК и ФСБ сами определяют, чему должны удовлетворять СрЗИ для защиты ПДн.

    Приказ 58 тех. регламентом являться не может по определению — тех. регламент имеет статус федерального закона или (как временная мера) постановления правительства. Так что ПП 781 больше шансов имело бы стать тех. регламентом.

    А по поводу аттестации — есть еще ГОСТ 51583-2000, который все лицензиаты, вроде как, пообещали выполнять — там сказано четко:

    5.3. Применение АСЗИ для обработки защищаемой информации разрешается только после ее аттестации на соответствие требованиям безопасности информации.

    Ответить
  9. Алексей Лукацкий

    Ну такая вакханалия закончится 1 июля, когда вступит в силу статья 46.7 закона о техрегулировании.

    Ответить
  10. Валентин Хотько

    2 doom
    Ссылка на ГОСТ 51583-2000 некорректна.
    Смотрим раздел 1 данного ГОСТ:
    "Настоящий стандарт распространяется на автоматизированные системы в защищенном исполнении, используемые в различных видах деятельности (исследование, управление, проектирование и т. п.), включая их сочетания, в процессе создания и применения которых осуществляется обработка защищаемой информации, содержащей сведения, отнесенные к государственной или служебной тайне."
    Дальше смотрим Указ 188 "Об утверждении перечня сведений конфиденциального характера"
    и видим, что "служебная тайна" никоим образом не относится к ПДн, о которых здесь идет речь.

    Ответить
  11. doom

    2 Алексей Лукацкий:
    не закончится 🙂
    Они и дату "Ч" в последней редакции убрали. Причем не перенесли, а именно убрали.

    2 Валентин Хотько:

    Хм… Слона-то я и не приметил.
    Хотя по тексту, там еще упоминаются АСЗИ, обрабатывающие несекретную информацию, используемую в управлении экологически опасными объектами.

    Но просто информации ограниченного доступа действительно нет…

    Ответить
  12. Алексей Лукацкий

    О! Отменив один пункт, ввели другой — 46.1.

    Ответить
  13. doom

    Но при этом еще статья 5, которая говорит, что кроме тех. регламентов надо еще слушаться органов и правительство — что под действие 46-й статьи, по идее, не попадает.

    В общем бардак и есть бардак 🙂

    Ответить
  14. Алексей Лукацкий

    Я это трактую так. Есть ФЗ, который требует техрегламентов. Но раз пока их нет, то нужно выполнять требования органов исполнительной власти, но при условии, что они касаются жизни и здоровья…

    Ответить
  15. Анонимный

    2 doom:
    А как Вы трактуете части 2 и 4 статьи 5 184-ФЗ?
    С сокращениями:
    "2. Особенности технического регулирования в части разработки и установления обязательных требований … федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации … в отношении продукции (работ, услуг), объектов, указанных в пункте 1 настоящей статьи … устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями."
    "4. Особенности оценки соответствия продукции (работ, услуг) и объектов, указанных в пункте 1 настоящей статьи, а также соответственно процессов их проектирования … производства … монтажа, наладки, эксплуатации, хранения … утилизации … устанавливаются Правительством Российской Федерации."

    Я понял это примерно так: в особых случаях, в интересах безопасности, Правительство может дать отмашку оценивать соответствие на любые требования ФОИВ в любой форме (коего случая вроде по 152-ФЗ не объявляли, а, наоборот, указано — в установленном порядке).

    Ответить
  16. Алексей Лукацкий

    Именно. Обязательные требования у нас определяет только Правительство.

    Ответить