Меня в этом информационном сообщении заинтересовал только один пункт, а именно следующий: «Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия. Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено» (выделение мое).
Если читать этот абзац буквально, то все действующие сертификаты должны быть пересмотрены до 1-го января следующего года (вот у испытательных лабораторий работки-то подвалит) и в них должны появиться приписки по поводу соответствия требованиям по доверию. Не хочется быть гонцом с плохими вестями, но подозреваю, что не все разработчики, особенно зарубежные, смогут пройти проверку даже на 6-й уровень доверия, что означает для некоторых разработчиков, что их попросят «выйти вон» с рынка. И все в рамках абсолютно законной процедуры, направленной на повышение национальной безопасности.
Надо заметить, что после фактического запрета на сертификацию решений с облачной Threat Intelligence (а куда сейчас без нее) многие применяемые в России продукты и так были несертифицируемы, но новый посыл регулятора недвусмысленно дает понять взятый курс. Отсюда простой вывод (как мне кажется) — коммерческим компаниям надо прекратить заморачиваться вопросом с сертификацией по требованиям безопасности (на безопасность это не влияет никак, а ограничивает очень сильно), а государственным органам можно только посочувствовать — возможности выбора ими средств защиты станут с одной стороны проще (продуктов останется совсем мало), а с другой стороны сложнее (конкуренция падает, а за ней и качество).
ЗЫ. Но есть и хорошие новости. Но после обеда 🙂
… и поэтому в очередной раз возникают вопросы:
Какие документы должен разработать оператор негосударственной ИСПДн или субъект КИИ, и как должен быть выстроен процесс оценки соответствия средств защиты информации или в целом ИС/ОКИИ в форме "приемка в эксплуатацию"? Это не сертификация, и не "испытание". Тогда что? Проверить в технической документации наличие механизмов защиты, обеспечивающих выполнение установленных мер защиты и составить Акт ввода в эксплуатацию с указанием соответствия системы требованиям по безопасности какого-то уровня или класса защищенности (значимости)? Существуют НПА регулирующие этот процесс?