Новости ФСТЭК по сертификации

18 мая на сайте ФСТЭК было опубликовано информационное сообщение, разъясняющее позицию ФСТЭК в области оценки соответствия средств защиты информации. Предсказуемая и четко выстроенная логика:
  • для гостайны — ФЗ о гостайне -> ПП-608 -> обязательная сертификация
  • для других видов информации ограниченного доступа — ФЗ о техрегулировании -> ПП-330 -> обязательная сертификация. 

Оценка соответствия средств защиты вытекает из ПП-1085 (Об утверждении положения о ФСТЭК). Для оценки разработано много РД и планируется разработать еще немало новых РД — по средствам доверенной загрузки, по DLP и т.д.

У меня комментариев только два (если не вспоминать про гриф ДСП на ПП-330) — в 330-м постановлении говорится не обо всех видах защищаемой информации, а только о ПДн и государевых информационных ресурсах (даже КСИИ там нет). И второе. В качестве форм оценки соответствия в 330-м говорится не только об обязательой сертификации, но и госконтроле (надзоре). Иными словами, вы можете либо сертифицировать свои СЗИ, либо ждать когда вам укажут на отсутствие сертифицированных решений в процессе проверки ФСТЭК. А учитывая, что полномочий проверять коммерческие структуры у ФСТЭК нет, то выводы делайте сами.

ЗЫ. ФСТЭК имеет право проводить проверки своих лицензиатов и требовать от них выполнения своих требований.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Анонимный

    Судя по "и ГНИИИ ГГГЗИ ФСТЭК России" — скан распознан… а где опубликовано ?

    Ответить
  2. Sergey Tolin

    На сайте ФСТЭК России http://www.fstec.ru/_lenta/_lno.htm

    Ответить
  3. toparenko

    >- для других видов информации ограниченного доступа — ФЗ о техрегулировании -> ПП-330 -> обязательная сертификация.

    Нифига.
    Пусть учитывают статус их системы сертификации. Там нонсенс получается: обязательная сертификация в системе добровольной сертификации РОСС RU.0001.030001 и РОСС RU.0001.01БИ00

    Ответить
  4. Алексей Лукацкий

    toparenko: Ну про это тоже немало копьев сломано 😉

    Ответить