Президент подписал новый Указ от 17.11.2008 №1625 «О внесении изменений в некоторые акты президента Российской Федерации«. Суть проста — ряд ведомств, таких как ФСБ, ФСО, МО и др. получили право самостоятельно устанавливать требования по защите информации в продукции, поставляемой для нужд данных ведомств.
Интересен 7-й пункт про ФСТЭК. Теперь «требования в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющихгосударственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа«, которые разрабатывает ФСТЭК, названы обязательными. Правда, теперь, как я понимаю, требования по ИБ могут разрабатываться только в виде технического регламента.
Сui prodest — первое, что посещает, когда что-то через Указ делается.
Но я не догнал, откуда про техрегламент вытекает.
Я бы тоже хотел понять 😉 Указ выпущен во исполнение закона о техрегулировании. Я пока не копал глубоко, но вполне возможно, чтобы исключить самодеятельность в выпуске документов а-ля по персданным теперь все решили делать «по уму», т.е. если требования обязательные, то нужен обязательно техрегламент, как и сказано в законе о техрегулировании.
Все просто. Этим Указом закрепляются те права федеральных органов исполнительной власти, которые были прописаны в ФЗ «О техническом регулировании» (ст. 5).
Напротив, НПА ФСБ и ФСТЭК приравнены к ТР и Указ это еще раз подчеркивает:
184-ФЗ п.1 ст.5
1. В отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу; продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; продукции (работ, услуг), сведения о которой составляют государственную тайну; продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии; процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения соответственно указанной продукции и указанных объектов обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, государственного управления использованием атомной энергии, государственного регулирования безопасности при использовании атомной энергии, и (или) государственными контрактами (договорами).
Формулировка для ФСТЭК несколько отличается от данных для других структур, но обязательное создание техрегламента не указывается ни для кого.
Более того. Указ приравнивает к ТР по обязательности не только НПА этих ведомств, но и ВСЮ их техническую документацию.
разрабатывает и устанавливает своими нормативными правовыми
актами и технической документацией (…….).
Указ распространяется только на подчиненные им ведомства, так?
Для остальных написано было «для нужд ведомства», а вот для ФСТЭК этой фразу уже нет ;-(
Этот указ — свидетельство того, что от идеи техических регламентов в области ИБ решено отказаться окончательно.
tendernes пишет…
Указ распространяется только на подчиненные им ведомства, так?
Не так. Каждое ведомство имеет свою зону компетенции. Например, ФСТЭК регулирует техническую защиту информации ограниченного распространения во всех органах исплнительной власти, учреждениях и предприятиях независимо от их формы собственности. Но только некриптографическими методами. ФСБ тоже регулирует техническую защиту информацию, но только в высших органах власти и на объектах за рубежом. И т.д. Отсюда и расхождения в формулировках Указа по отношению к различным органам исполнительной власти.
Главное — суть: если ранее в целях выполнения своих функций указанные силовые структуры бились за принятие технических регламентов, то сейчас они от этой доли избавлены. Всё разложено по полочкам, и следует ожидать, что новые необходимые ноормативные документы будут разрабатываться быстрее и легче и дойдет, наконец, очередь до Положения — 93, Положения об аттестации 94 года, РД по НСД и других мастодонтов.
Ну и про любимое дитя — Персональные Данные не забудут :)))
Мда, позитивненько
На самом деле, на фоне голода всех игроков ИБ от отсутствия внятных требований и «правил игры» — такое решение дает шанс для «культивации» национальных требований… но есть и отрицательный момент — ОЧЕНЬ ОТРИЦАТЕЛЬНЫЙ и связан он с НЕПРИЯТИЕМ требований одной структуры другой… Что бывает с Сертификатами соответствия ФСТЭК, МО РФ, ФСБ…
Бедный разработчик будет создавать 1 Изделие и к нему 3-4 варианта ТУ, и 3-4 варианта исполнения ПО СрЗИ ?!
Оснавная мысль — пусть кто то и создаст хорошую систему — но ее не примут другие игроки… и что тогда…
Это скорее приведет к расколу на рынке… а потом к обязательному объединению… но уже лет через 10-15 ?!
swan’у: Ну раскол и сейчас есть — требования между собой не согласованы. Я готовил презу на эту тему (http://lukatsky.blogspot.com/2008/10/infosecurity-moscow-2008.html) — на 80% требования совпадают, но все равно сертифицироваться придется отдельно.
Ну что же — будем стратифицировать )))
В общем все нормально — просто де-факто сделали де-юро