О 330-м постановлении Правительства

Вот забавная история происходит с пресловутым 330-м Постановлением Правительства «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об  особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)» (длинное название, взятое почти дословно из 5-й статьи ФЗ «О техрегулировании»). Его мало кто видел, ибо оно носит статус ДСП, что само по себе является нонсенсом для обязательного для всех операторов персданных нормативного документа.

Во-вторых, у него интересная область применения. Логично было бы предположить, что оно должно распространяться на все виды конфиденциальной информации… Ан нет. Только на государственные информационные ресурсы и персданные. Почему (хотя это и хорошо) за скобки вынесены врачебная тайна, тайна усыновления и т.п.? Ведь они не менее важны и критичны, чем персданные.

В-третьих, оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). Т.е. то, что было написано в 58-м приказе ФСТЭК и по разному толковалось разными экспертами теперь имеет четкое толкование — только обязательная сертификация.

В-четвертых, к принципам подтверждения соответствия относится «ограниченный доступ к информации и документам, касающимся установления обязательных требований, сертификационных испытаний продукции и подтверждения ее соответствия, а также методов и способов защиты информации конфиденциального характера«. Иными словами ФСТЭК, ФСБ и МинОбороны теперь имеют полное право выпускать ДСПшные документы. Правда, совсем непонятно, как теперь соотносится 1009-е и 330-е постановления?..

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Сергей Борисов

    А про аттестацию ИС ничего не написано?

    Ответить
  2. Алексей Т.

    А где само постановление? Что за нагнетание интриг, Алексей?

    Ответить
  3. Алексей Лукацкий

    Само постановление ДСП ;-(

    Про аттестацию впрямую ничего, но есть пункт "Объектом обязательной сертификации является продукция. Объектом государственного контроля (надзора) являются продукция (работы, услуги) и процессы". Так что аттестации пока не нужно.

    Ответить
  4. Artem

    Совсем уже запутался. Помогите разобраться.
    1. Нужны ли лицензии ФСБ (СКЗИ) и ФСТЭК (ТЗКИ), оператору ПДн?
    2. Нужна ли аттестация ИСПДн (любых классов)?
    Прошу прощения, что переспрашиваю, но лучше переспросить, чем не понять.

    Ответить
  5. John

    >> Grigoriy пишет…
    Теперь еще нужна лицензия Минобороны :-))

    Ответить
  6. Unknown

    Этот комментарий был удален автором.

    Ответить
  7. Unknown

    А как получить ПП-330? Необходимо писать письмо во ФСТЭК?

    Ответить
  8. Алексей Лукацкий

    Можно попробовать

    Ответить
  9. Unknown

    Вот это чудеса из чудес. Так, глядишь, скоро и ФЗ начнут ДСПшные клепать. А там и до Конституции не далеко — пара-тройка ДСПшных статей.. А потом еще и посадят — ибо незнание законов не освобождает от ответственности за их неисполнение. Надо председателю правительства писать — путь высылают счет-квитанцию типографии, где заказывать экземпляр:) Времена четверокнижия вернулись 🙂

    Ответить
  10. doom

    Практика общения с нашим ФСТЭКом показала:
    1. Про ПП 330 изначально они не знают.
    2. Сотрудники ФСТЭК сами выясняют вопрос в ЦА, после получения запроса и даже перезванивают, как только выясняют, что это за ПП и с чем его едят.
    3. Заказ обычным порядком — как и для СТР-К, и для четверокнижья. Уже отправили письмо — пока ждем (соответственно, цена вопроса тоже пока неизвестна).

    Ответить
  11. Unknown

    Всевозможные законы, постановления, указы, имеющие статус выше открытого (ДСП, секр и т.д.), издавались и будут издаваться, но имеют узкую сферу и направленность действия. Для массовой законности, чтобы не нарушать конституционный строй законодательный акт должен быть опубликован в открытой печати и только после этого он сможет вступить в законную силу, если иного не оговорено в самом документе, и опять же, обратной силы они не имеют, то есть в данном случае имею ввиду, что задним числом не может быть введен в действие, либо только сразу после опубликования, либо в определенный срок после опубликования. То есть, если таковое постановление имеется, то на кого-то оно может распространяться, а на кого-то нет. Думаю паниковать нет смысла пока 🙂

    Ответить
  12. Сергей Борисов

    В связи с этим постановлением, при защите ПДн в соответствии со стандартом СТО БР ИББС, встроенные функции ОС и прикладного ПО теперь придется сертифицировать?

    Ответить
  13. Сергей Борисов

    Этот комментарий был удален автором.

    Ответить
  14. doom

    2 Сергей Б.

    Ну, если пройдут поправки Резника, то нет — там написано, что правительство занимается только вопросами защиты ПДн в гос. органах.

    Но вообще, конечно, явно видны какие-то телодвижения в диаметрально противоположных направлениях (к вопросу об отмеченном Алексеем противостоянии "Путин"-"Медведев" в этих вопросах), поэтому конечный результат остается по-прежнему непредсказуемым (хотя попробую сделать прогноз — опять придется передвигать срок приведения в соответствие, потому что невозможно что-то делать, когда все так внезапно меняется).

    P.S. Сергей Борисов — интегратор ИБ. Это не тот ли Сергей, про которого я подумал 😉

    Ответить
  15. Сергей Борисов

    Тот самый.
    Коля — если у вас уже есть этот документ, кинь пожалуйста на почту.

    Мы только заказали. Пока наш ФСТЭК официально пришлет — годы пройдут.

    Ответить
  16. Алексей Лукацкий

    Встроенные функции ОС и прикладное ПО сертифицировать не придется. Это противоречит и ФЗ-184 и приказу ФСТЭК 199.

    Ответить
  17. doom

    Алексей, а можно раскрыть поподробнее последнее утверждение? Встроенные возможности ОС и ПО вполне себе живут в Приложении 1 к Положению — пункты 2.3 и 2.4, например.

    Ответить
  18. Алексей Лукацкий

    О каком положении речь?

    Ответить
  19. doom

    2 Алексей
    О 199-м приказе ФСТЭК (точнее еще Гостехкомиссии) — Положение
    о сертификации средств защиты информации по требованиям безопасности информации. Или не о нем была речь?
    В общем-то и в 184-м непонятно, где указание на то, что нельзя потребовать сертификации встроенных возможностей ОС и ПО.

    Ответить
  20. Алексей Лукацкий

    2.3 и 2.4 — это Программы, обеспечивающие разграничение доступа к информации и Программы идентификации и аутентификации терминалов и пользователей. Причем тут встроенная функциональность ОС?

    С данным положением вообще непонятные вещи происходят. ФСТЭК в него задним числом вносит все, что угодно. У меня версия 98-го года — так там совершенно иной перечень СЗИ, подлежащих сертификации. А ведь реквизиты Положения так и не менялись с тех пор. Странно это ;-(

    Что же касается ФЗ-184, то ст.5 относится только к средствам защиты. А общесистемное и прикладное ПО к таковым не относится. Следовательно на него требования ФСТЭК не распространяются.

    Ответить
  21. doom

    Ну как это причем?
    Одна из функций ОС — это разграничение доступа. А более широкое прочтение такое: если (например по проекту) нечто обеспечивает функционал СрЗИ — управление доступом, регистрация и учет, контроль целостности, криптографическая защита и т.п., то это нечто тоже становится СрЗИ и подлежит сертификации.

    Ну и в целом к вопросу о том, что же такое СрЗИ:

    2.7.2 Средство защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.

    Цитата из ГОСТ Р 50922-2006.
    Т.е. мнение регуляторов на этот счет однозначно — СрЗИ все, что занимается защитой информации.

    Ответить
  22. Алексей Лукацкий

    Ну в системе управления современными самолетами, в частности в A-380, тоже есть механизмы защиты информации. И в автомобилях. И в телефонах. И в поездах. И в атомных электростанциях. Что ж теперь, все их во ФСТЭК отдавать на сертификацию?.. 😉

    Ответить
  23. doom

    Я думаю, ФСТЭК не отказался бы 🙂

    К слову, РЖД вовсю сертифицирует какие-то свои программы управления тепловозами (правда на контроль отсутствия НДВ, но все же).

    Ответить