Президент России Дмитрий Медведев на основании пункта «г» ст.84 Конституции Российской Федерации внес в Государственную думу проект федерального закона «О внесении изменений в федеральный закон «О техническом регулировании».
Законопроектом предусматриваются законодательное закрепление возможности признания и заимствования лучших мировых стандартов в целях их применения в Российской Федерации. Также предполагается введение двух применяемых по выбору заявителя режимов технического регулирования, один из которых основан на требованиях российских стандартов, другой — на требованиях иностранных технических регламентов (директив) и стандартов.
Текст законопроекта на сайте ГосДумы.
Нам бы хоть общие критерии ратифицировать, чтобы обходиться без сертификатов ФСТЭК.
Как это может на ИБ в России сказаться? Декларирование будет возможно по какому-то иностранному ТР? Интересно есть ли в европе такие, чтобы под наш 152ФЗ подошли и не противоречили 😉
"Общие критерии" уже давно ратифицированы и применяются на практике. см. ГОСТ 15408!
Я уже не раз встречал разработанные по ним Профили защиты…
AndreyP
2Анонимный
Может существенно сказаться на процессах аттестации и сертификации.
Лучшие мировые практики построены на других принципах и подходах.
AndreyP
Документом также предусматривается изъятие из общего правила открытого бесплатного доступа к документам по стандартизации, обусловленное обязательствами Российской Федерации, вытекающими из лицензионных договоров с обладателями исключительных прав на стандарты как результаты интеллектуальной деятельности, а также из норм международного права.
А вот из этого может получиться реальное западло. Не без ложки дегтя.
"Документом также предусматривается изъятие…"
Да. Это реальное западло. Только касается "переводных" стандартов.
Common Criteria у нас не ратифицированы. Ни мы не принимаем чужие сертификаты, ни они наши. Да и сама схема не прижилась. Если уж в доках по ПДн ссылка не на Общие критерии, а на старые РД.
Также непонятно как это влияет на ИБ, т.к. считается, что ФЗ-184 вообще не применим к информационной безопасности, т.к. Напрямую не влияет на жизнь и здоровье граждан и т.д.
Статья 5 184-ФЗ указывает, что вопросы технического регулирования в области технической защиты информации регулируются так:
"В отношении… продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа;… обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации…"
Т.е. пока нет регламентов, все требования регулируются уполномоченными органами исполнительной власти. Т.е., в частности, ФСТЭК, как головная организация в данном вопросе.
Открываются возможности признания и заимствования мировых стандартов в целях их применения в Российской Федерации. А в форме технических регламентов по ИБ?
"Общие критерии", ха, да это западло посильнее 4-х книжья! Нормальная сертификация будет года 2 + куча маккулатуры.
Всегда удивляло, когда про ОК говорят люди, никогда не разрабатывающие ПФ и ЗБ и не реализующие их в практике (от 0 до аттестации объекта).
Кто-нибудь читал ЗБ для Windows 2003?
+первод (сплошные афоризмы).
2 Алексей
"Также непонятно как.."
— Действительно в 2002-03 была большая битва по этому поводу между сторонниками тех регламента по ИБ и противниками.
Противники обосновали свою позицию лучше, и вопрос был "заморожен"…
2 Аноним…
Скажу больше не только читал но и писал и сертифицировал.
Полного цикла у нас в стране не получается практически.