Позавчера я проводил внутренний семинар по вопросам оценки соответствия. В рамках подготовки этого семинара провел краткий анализ действующего законодательства на предмет составления списка нормативных актов, которые говорят о необходимости применения средств защиты, прошедших ту или иную форму оценки соответствия. Собственно фрагмент презентации с этого семинара со списком нормативных актов и прикладываю. Возможно, что проведу публичный семинар на эту тему.
Вчерашнее письмо из Минпромторга лишний раз подтверждает, что оценка соответствия средств защиты может быть воспринята по-разному и это не обязательно сертификация (если явно не сказано про сертификацию). Государственный контроль (надзор), о котором написал Минпромторг (а он, кстати, у нас главный в теме техрегулирования), является одной из семи форм оценки соответствия и одной из двух, упомянутых в ПП-330. Так что знание законодательства помогает решить многие вопросы, связанные с реализацией постоянно критикуемых нормативных актов регуляторов. Главное, не бояться этого делать.
Почему из презентации еще не исключено ПП781? Хотя включено 1119?
И еще на 6-м слайде в последней строке таблицы написано "Постановление Правительство"
Галактега опасносте 🙂
Спасибо, большой оказывается перечень.
А по какому алгоритму были отсортированы документы?
Алексей, с оценкой соответствия для госов думаю скоро будет все однозначно, см. http://www.fstec.ru/_razd/_isp0o.htm Требования к защите не гостайны в ГИС: тут вам и сертификация без вариантов, и аттестация, и DLP, мало того, если сертифицированных решений, удовлетворяющих требованиям заказчика нет, то эти требования придется подгонять под существующие СЗи с сертификатом :-)))
Упс, про ПП-781 забыл. Спасибо
Алгоритма никакого — по мере прочтения нормативки. Потом может отсортирую
А в списке документов проект "нового СТР-К" есть. Для госов всегда все было однозначно
Не хватает Оценки эффективности мероприятий перед началом обработки ПДн(ФЗ-152, ст.19).
К оценке соответствия (в терминах закона о техрегулировании) оно не имеет прямого отношения, но всё же.
Для госов — оценка эффективности до ввода в эксплуатацию — это аттестация. Для коммерческих — это то, что они сами определят. Хоть аудит, хоть ввод в эксплуатацию.
Алексей, это одно из самых спорных Ваших высказываний.
Т.к. 1) В приведенной презе про Аттестацию для госов ничего нет, кроме гостайны. 2) Про "аттестация = оценка эффективности" тоже ничего нет. 3) Вообще про понятия эти ничего нет. 4) Да и забыто ПП о лицензировании ТЗКИ, где много чего сказано про аттестацию, только не сказано, для чего она нужна.
Т.е. трактую так данное утверждение: то ли оно — истина на уровне Вашей веры, то ли какой-то нормативный документ из числа действующих умалчивается Вами. Только вот какой и зачем?
Не может же быть так, что если во по всем вопросам Вы ищете истину в НПА, то вдруг в одном единственном вопросе её искать не следует, а следует верить.
Именно вот так я понимаю Ваше утверждение.
слайд 12 — СТР-К говорит об аттестации. Куча писем (в блоге тоже приводились) говорят о том, что ИСПДн в госах должны аттестовываться. Новый СТР-К говорит также об аттестации, а он будет применяться и для ИСПДн.