Какие нормативные акты требуют оценки соответствия средств защиты информации?

Позавчера я проводил внутренний семинар по вопросам оценки соответствия. В рамках подготовки этого семинара провел краткий анализ действующего законодательства на предмет составления списка нормативных актов, которые говорят о необходимости применения средств защиты, прошедших ту или иную форму оценки соответствия. Собственно фрагмент презентации с этого семинара со списком нормативных актов и прикладываю. Возможно, что проведу публичный семинар на эту тему.

Вчерашнее письмо из Минпромторга лишний раз подтверждает, что оценка соответствия средств защиты может быть воспринята по-разному и это не обязательно сертификация (если явно не сказано про сертификацию). Государственный контроль (надзор), о котором написал Минпромторг (а он, кстати, у нас главный в теме техрегулирования), является одной из семи форм оценки соответствия и одной из двух, упомянутых в ПП-330. Так что знание законодательства помогает решить многие вопросы, связанные с реализацией постоянно критикуемых нормативных актов регуляторов. Главное, не бояться этого делать.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. doom

    Почему из презентации еще не исключено ПП781? Хотя включено 1119?
    И еще на 6-м слайде в последней строке таблицы написано "Постановление Правительство"
    Галактега опасносте 🙂

    Ответить
  2. Сергей Борисов

    Спасибо, большой оказывается перечень.

    А по какому алгоритму были отсортированы документы?

    Ответить
  3. Сергей

    Алексей, с оценкой соответствия для госов думаю скоро будет все однозначно, см. http://www.fstec.ru/_razd/_isp0o.htm Требования к защите не гостайны в ГИС: тут вам и сертификация без вариантов, и аттестация, и DLP, мало того, если сертифицированных решений, удовлетворяющих требованиям заказчика нет, то эти требования придется подгонять под существующие СЗи с сертификатом :-)))

    Ответить
  4. Алексей Лукацкий

    Упс, про ПП-781 забыл. Спасибо

    Ответить
  5. Алексей Лукацкий

    Алгоритма никакого — по мере прочтения нормативки. Потом может отсортирую

    Ответить
  6. Алексей Лукацкий

    А в списке документов проект "нового СТР-К" есть. Для госов всегда все было однозначно

    Ответить
  7. Сергей Городилов

    Не хватает Оценки эффективности мероприятий перед началом обработки ПДн(ФЗ-152, ст.19).
    К оценке соответствия (в терминах закона о техрегулировании) оно не имеет прямого отношения, но всё же.

    Ответить
  8. Алексей Лукацкий

    Для госов — оценка эффективности до ввода в эксплуатацию — это аттестация. Для коммерческих — это то, что они сами определят. Хоть аудит, хоть ввод в эксплуатацию.

    Ответить
  9. Сергей Городилов

    Алексей, это одно из самых спорных Ваших высказываний.
    Т.к. 1) В приведенной презе про Аттестацию для госов ничего нет, кроме гостайны. 2) Про "аттестация = оценка эффективности" тоже ничего нет. 3) Вообще про понятия эти ничего нет. 4) Да и забыто ПП о лицензировании ТЗКИ, где много чего сказано про аттестацию, только не сказано, для чего она нужна.
    Т.е. трактую так данное утверждение: то ли оно — истина на уровне Вашей веры, то ли какой-то нормативный документ из числа действующих умалчивается Вами. Только вот какой и зачем?
    Не может же быть так, что если во по всем вопросам Вы ищете истину в НПА, то вдруг в одном единственном вопросе её искать не следует, а следует верить.
    Именно вот так я понимаю Ваше утверждение.

    Ответить
  10. Алексей Лукацкий

    слайд 12 — СТР-К говорит об аттестации. Куча писем (в блоге тоже приводились) говорят о том, что ИСПДн в госах должны аттестовываться. Новый СТР-К говорит также об аттестации, а он будет применяться и для ИСПДн.

    Ответить