Может ли ГОСТ быть обязательным?

Вопрос, поднятый в заголовке, не так прост, как кажется на первый взгляд. Обычно считается, что национальные стандарты (ГОСТы) являются документами добровольного применения (согласно ст.12 ФЗ-184 «О техническом регулировании»), т.е. не могут быть обязательными к использованию. Иными словами, различные ГОСТы, имеющие отношение к информационной безопасности (18044 по управлению инцидентами, 18045 по оценке безопасности ИТ, 27001 и т.д.), носят характер рекомендательный. Но это не так.

17 октября 2009 года было принято Постановление Правительства №822 «Об утверждении Положения об особенностях стандартизации оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, а также процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции» (в Консультанте).

Основной объем текста постановления касается стандартизации оборонной продукции, но в 3-й части говорится и о нашей теме. Ст.27 говорит о том, что стандартизация того, что попадает в 5-ю статью ФЗ-184 осуществляется Ростехрегулированием, ФСТЭК, ФСБ, МинОбороны и СВР. А вот 28-я, последняя статья ПП-822, говорит о том, что обязательность применения этим самых стандартов устанавливается государственными заказчиками работ по стандартизации и 4-мя регуляторами, названными выше. Иными словами, ФСТЭКу ничто не мешает сделать любой свой ГОСТ (например, 51583 о создании АС в защищенном исполнении) обязательным к применению. И никаких дополнительных документов разрабатывать не надо. А еще таким же макаром можно и СТО БР ИББС сделать обязательным, придав ему сначала статус национального стандарта.

А вы говорите, не может быть…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    Но все же это касается только оборонки…

    Ответить
  2. Unknown

    Этот комментарий был удален автором.

    Ответить
  3. Анонимный

    Какие проблемы…
    Этот вопрос всегда решался включением в различные ТЗ перечня ГОСТов…

    Ответить
  4. Алексей Лукацкий

    Это касается не только оборонки. Оборонки касается вторая часть постановления, а третья — всего остального

    Ответить
  5. Алексей Лукацкий

    В ТЗ — это в частном порядке. А тут можно просто принять ГОСТ и все 😉

    Ответить
  6. Unknown

    Так совпало, также недавно проводил исследование на тему ГОСТ-ов.
    Вывод таков: самостоятельно ГОСТ-ы юридической силы не имеют, но на них могут быть сделаны ссылки в различных НПА, которые и делают их обязательными.

    Касательно защиты информации с ограниченным доступом есть прямое указание в 184-ФЗ в статье 5 и 9.1, где указано про особый статус продукции, услуг, иных процессов относящихся к защите информации с ограниченным доступом: кроме всего прочего право Заказчика и ФОИВ устанавливать свои требования. А там и появляются отсылки к ГОСТ.

    Ответить