17 октября 2009 года было принято Постановление Правительства №822 «Об утверждении Положения об особенностях стандартизации оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, а также процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции» (в Консультанте).
Основной объем текста постановления касается стандартизации оборонной продукции, но в 3-й части говорится и о нашей теме. Ст.27 говорит о том, что стандартизация того, что попадает в 5-ю статью ФЗ-184 осуществляется Ростехрегулированием, ФСТЭК, ФСБ, МинОбороны и СВР. А вот 28-я, последняя статья ПП-822, говорит о том, что обязательность применения этим самых стандартов устанавливается государственными заказчиками работ по стандартизации и 4-мя регуляторами, названными выше. Иными словами, ФСТЭКу ничто не мешает сделать любой свой ГОСТ (например, 51583 о создании АС в защищенном исполнении) обязательным к применению. И никаких дополнительных документов разрабатывать не надо. А еще таким же макаром можно и СТО БР ИББС сделать обязательным, придав ему сначала статус национального стандарта.
А вы говорите, не может быть…
Но все же это касается только оборонки…
Этот комментарий был удален автором.
Какие проблемы…
Этот вопрос всегда решался включением в различные ТЗ перечня ГОСТов…
Это касается не только оборонки. Оборонки касается вторая часть постановления, а третья — всего остального
В ТЗ — это в частном порядке. А тут можно просто принять ГОСТ и все 😉
Так совпало, также недавно проводил исследование на тему ГОСТ-ов.
Вывод таков: самостоятельно ГОСТ-ы юридической силы не имеют, но на них могут быть сделаны ссылки в различных НПА, которые и делают их обязательными.
Касательно защиты информации с ограниченным доступом есть прямое указание в 184-ФЗ в статье 5 и 9.1, где указано про особый статус продукции, услуг, иных процессов относящихся к защите информации с ограниченным доступом: кроме всего прочего право Заказчика и ФОИВ устанавливать свои требования. А там и появляются отсылки к ГОСТ.