Хотелось бы еще пройтись касательно последнего требования Указа, который гласит, что с 1-го января 2025 все попавшие под Указ организации не смогут использовать средства защиты из недружественных государств, а также от иных организаций, которые прямо или косвенно подконтрольны таким государствам. Отдельные депутаты необдуманно заявляют, что надо распространить эту норму не только на недружественные, но и вообще на все зарубежные средства защиты, включая пока еще молчащие китайские и израильские, а также вполне дружественные ближневосточные и южноамериканские. И многие заказчики, несмотря на слова Президента о том, что надо поддержать те немногочисленные иностранные компании, что еще остались в России, последуют стратегии «лучше перебдеть».
Обратите внимание, что указ говорит не о запрете закупки, а запрете использования. А это гораздо жестче требование.
Но важно другое. Что такое «средство защиты информации»? Если вспомнить определение из терминологического ГОСТ Р 50922-2006, то это «техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации«.
А закономерно ли использовать определение из ГОСТа?
Можно попробовать найти определение термина «средства защиты информации» в федеральном законодательстве. Тогда ситуация станет чуть лучше в контексте Указа, но она повлечет за собой гораздо более серьезные последствия, ведь согласно определениям в законе о гостайне (Закон РФ от 21.07.1993 №5485-1 «О государственной тайне») или в ПП-608 (Постановление Правительства РФ от 26.06.1995 №608 «О сертификации средств защиты информации») к последним можно относить только то, что имеет отношение к гостайне и более ничего.
Средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.
Стоп-стоп-стоп… А есть же 55-й приказ ФСТЭК (Приказ ФСТЭК России от 03.04.2018 №55 «Об утверждении Положения о системе сертификации средств защиты информации»), в котором дается такое определение:
Продукция, используемая в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, являющейся государственным информационным ресурсом и (или) персональными данными, продукция, сведения о которой составляют государственную тайну (далее — средства защиты информации).
Данное определение дано якобы в соответствие с ФЗ-184 «О техническом регулировании«, но в 5-й статье этого закона упоминание «продукции…» есть, а вот упоминания, что это средства защиты информации, нет. Да и ставить в один ряд ведомственный приказ и федеральный закон?.. Нууу, такое…
Вот и получается, что если следовать закону, то средства защиты информации — это только то, что касается гостайны.
ФСТЭК слишком расширительно стала толковать этот термин и это давняя история, которая тянется с 199-го приказа Гостехкомиссии 1995-го года. Там изначально была фраза о том, что обязательной сертификации подлежат только средства защиты гостайны (как до сих пор и написано в ПП-608), а в остальных случаях она носит добровольный характер. А все потому, что само определение объекта сертификации было очень узким.
Дискуссия о том, что пора бы уточнить этот термин, идет давно, но сейчас это определение поднимает целый ряд вопросов, которые придется решать. Например, возьмем шторку на веб-камеру, которая борется с видовыми утечками, — это ведь тоже средство защиты информации. И она должна быть с 1-го января 2025 года только отечественной (а они все производятся в Китае)! А в более широком смысле жалюзи на окнах? Это же тоже средства защиты. Как и замки на дверях. Да и вообще все, что с помощью чего можно реализовывать меры из 17/21/31/31/239 приказов ФСТЭК, ФСБ, Банка России и т.п.
А встроенные механизмы защиты информации в мобильную связь, например, смартфоны? А телевизионные приемники и встроенная в них защита сигнала? А как будут взаимодействовать отдельные российские госорганы с иностранцами (например, ФТС)? А АСУ ТП, которые у нас много где иностранные и там есть встроенные механизмы защиты? А СКЗИ в куче технологий? В конце концов, как будут отечественные коммерческие субъекты КИИ будут пользоваться браузерами, операционными системами, базами данных, сетевым оборудованием с встроенными механизмами защиты (они ведь относятся к средствам защиты согласно определению ФСТЭК)? Или за 2,5 года предполагается совсем отказаться от любого импорта? Вопросы, вопросы, вопросы…
Мне кажется, регуляторам пора уже определиться более четко с термином «средство защиты информации».
А если начнется формироваться судебная практика то наш самый гуманный который как тот художник который каждый видит по своему…то будет еще интереснее…третий год сужусь с газпромом и понимаю всю глубину того пи….ца который творится в законотворчестве и принятии решения, каждый орган может применять как на душу ляжет….и главное никто ни за что не отвечает)))))))))…так что вершина айсберга этот кусочек сзи
Да, проблема трактования законодательства, — это жопа 🙁
Есть ещё классификатор минцифры, и его 3й раздел (приказ №486 от 22.09.2020). Правда, он про «программы для ЭВМ…», шторки и жалюзи не учтены.
А тут вопрос в том, насколько Минцифры уполномочено разъяснять, что такое средство защиты информации. И да, Минцифры — это про программы для ЭВМ. А к средствам защиты относятся еще и вещества 🙂 Что это, я не знаю, но допускаю, что защитная краска, которая наносится на стены для препятствования утечке акустической информации, может быть отнесена как раз к веществам. И это точно не про Минцифры
Федеральный закон «О техническом регулировании» от 27.12.2002 № 184-ФЗ
Часть 4. Особенности оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями.
Постановление Правительства России от 15.05.2010 № 330 «Об утверждении Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа»
Оценка соответствия средств, предназначенных для защиты информации конфиденциального характера, средств в которых они реализованы, а также средств контроля эффективности защиты информации, используемых в целях защиты государственного информационного ресурса и (или) персональных данных, осуществляется в форме обязательной сертификации
Я все что ждал, когда вытащат на свет «стюардессу». ПП-330 даже ФСТЭК не упоминает уже много лет. Оно в отношении ПДн не совсем легитимно, о чем все знают и поэтому не используют
Алексей,
спасибо за внимание к этой части указа. К сожалению, средства защиты информации могут быть не только организационные и аппаратные, но еще и программные. В процессе моего общения с представителямирегулятора, мне неоднократно было сказано, что средствами защиты, помимо прочего (программные firewalls, intrusion detection systems, и т. д.), являются любые программные средства, в которых реализованы технологии многопользовательского доступа к данным с разделением полномочий (ролей, уровней доступа, и т.д.). В этом случае любая ОС (как сама по себе, так и среда исполнения), СУБД, среда коллективной работы, система документооборота, и пр. ПО, являются средствами защиты информации, и если они иностранные, то с 1 января 2025 г. в ряде случаев использоваться не должны. На мой взгляд, это может означать необходимость прямо сейчас начинать планирование процессов перехода на имеющиеся аналоги, т.к. бюджет надо будет закладывать на это все в конце 2023 г.
Так никто не спорит, что сказать можно, что угодно и что практика сложилась именно такая, о какой пишете вы и о какой говорит ФСТЭК. Только вот нормативные акты говорят немного о другом. И если регулятор хочет, чтобы все было по-правильному, стоило бы инициировать внесение изменений в законодательство. А то сейчас еще примут поправки о том, что 17-й приказ распространить на коммерческие организации, обрабатывающие информацию, обладателем которой является государство, и вопросов станет еще больше по поводу того, что надо сертифицировать.
нафиг нафиг…два месяца без 17 приказа…новая работа…на старом месте «не специалисты»(специалисты на эти деньги не пойдут, слава богу вакансии начали расти как грибы) пытаются без денег чтото делать…сочуствую, но обратно не хочу…государство обрабатывает данные организации(налоговая, пенсионный итдитп) и подпадут тогда все)))))))нафигнафиг)))))))
В законе о ГТ статья 2 так и называется «Основные понятия, используемые в настоящем законе». Тем самым определение понятия «средства защиты иеформации» в этом законе используется только в целях его применения. Наиболее точное определение СЗИ дано в Гост, поэтому при контроле исполнения указа достаточно только в плане проверки указать, что понятие «средства защиты информации» используется в редакции Гост 50922. Таким образом сюда попадут и шторки, и краски и тд. Причем у Фстэк есть полномочия задавать требования к этим средствам, используемым как для защиты ГТ, так и конф.информации
Ну когда у меня есть термин из ФЗ и ПП и термин из ГОСТа, почему последний имеет приоритет над первыми?
Хотели как лучше, получилось как всегда. Вообще логичное решение и как показало время — доверять иностранным средствам защиты, такое себе. Сколько раз d-link ловили на бэкдорах и жизнь людей ничему не учит, пилят сеть на них же.
Ну, во-первых, пилить больше не на чем. А, во-вторых, в нашем что, нет уязвимостей?
Наши — как «неуловимый Джо». Большинство информации об уязвимостей поступает из заграницы, т.к. там эта сфера — поиск уязвимостей — более развита, чем у нас. У нас за это можно и срок получить.
Ну это не совсем так. Просто в абсолютном измерении число исследователей у нас меньше, чем у них. Да и искать в зарубежном софте дырки выгоднее, чем в отечественном