И вновь вернусь к теме оценки соответствия. Уж очень часто эту оценку приравнивают к сертификации. На самом деле это не так. Фраза «оценка соответствия в установленном порядке» замечательно иллюстрируется данной картинкой, которую я сделал на основе анализа закона о техническом регулировании, т.к. именно он определяет, что такое оценка соответствия.
"Иная форма" открывает неограниченный простор для вариантов 🙂
Не все так просто. По закону особенности оценки соответствия устанавливает Правительство
Если буквоедить — то "особенности" и "формы" — разные вещи 🙂
Все правильно, потому и приравнивают, что все остальные формы у нас в зачаточном состоянии. 😉 Аттестация ИСПДн между прочим относится к сертификации — некая форма сертификации получается у ФСТЭК.
Только вот аттестацию лучше не приплетать. Её легитимность под вопросом.
Этот комментарий был удален автором.
Значит можно выбрать в качестве оценки соответствия выбрать — "Приемка и ввод в эксплуатацию". Написать акты ввода и не надо сертифицированить, пока не будет обязательных требований законом или ПП опубликованным и зарегистрированным в минюсте?
Смотря для чего. Для ПДн, например, есть такая штука как "оценка результатов оценки соответствия в форме экспертизы" и "регистрационные номера в реестре СЗИ". И то и другое происходит только при обязательной сертификации. Однако если потребуют — можно сказать в ответ, что вы нигде не видели установленных правил проведения экспертизы и она у вас не проводилась, так как не проводилась проверка ФСТЭК, точно так же, как и не видели правил присвоения этих самых регистрационных номеров. Ну а если сошлются на обязательную сертификацию — можно сказать, что СЗИ не включены в перечень товаров, подлежащих обязательной сертификации.
Я сторонник иного подхода. Одной из форм оценки является контроль и надзор. Вот я и жду, когда придет ко мне ФСТЭК с плановой проверкой (согласованной с прокуратурой) и оценит соответствие 😉
Так это те же … только вид сбоку 🙂
Картинка ФЗ соответствует… Перечислили какие бывают.
Но…
Кто теперь распишет в каких случаях какой подход применять и что интересно сам порядок…
А есть перечень — классификация, где написано что для продукции 1,2,3 по классификатору оценка такая то в соответствии с таким то порядком… а для 4,5,6 пи условии *** — оценка вот такая и в соответствии с другим порядком…
Такого ответа нет… или есть но не вполне четкий, юридически верный, оспариваемый и т.п.
Алексею: Алексей, я тоже считал раньше всё это формами оценки соответствия, но все Ваши доводы не учитывают, что это формы оценки применимые только к техническим регламентам (глава 2 ФЗ о ТР, предыдущий абзац об этом явно говорит). К сожалению, по информационной безопасности были разработаны по моей информации 2 регламента, которые так и не были приняты, так что эти формы оценки соответствия к нам не относятся. А вот в главе 4 явно указаны формы подтверждения соответствия, в которых есть сертификация и декларирование. Так что инспекторы провести оценку гипотетически могут, а вот подтвердить соответствие нет 😉
Сергею Б. Легитимность ДОБРОВОЛЬНОЙ аттестации без вопросов – есть установленная форма оценки, документы, порядок и т.д. Найдите любую другую форму оценки соответствия в области ИБ, которая была бы так регламентирована. По поводу юридической значимости (старые документы, нет регистрации в Минюсте) – какая разница, если ФСТЭК ее признает, аккредитует органы по аттестации, устанавливает требования и осуществляет контроль?
Жаль, что декларирование подразумевает обязательную экспертизу органа по сертификации, красивое слово «декларирование», а вот сложностей с ним больше, чем с сертификацией.
Алексей Т. по фз о ТР ст. 24: есть 2 схемы декларирования… причем 1ая как раз без участия органа по сертификации (собственные док-ва и т.д.).
хз кароче мб я путаю что-то, но тут вроде тож все по тех. регламенту )))
2 prisonpod Точно, и здесь по техрегламенту, и плюс подлежит регистрация декларации в едином регистре, которого фактически нет. Мутное дело в общем… Но по поводу остальных форм подтверждения соответствия — нет их.
Алексей Т: в первоначальном посте речь шла об оценке соответствия продукции — средств защиты информации.
А аттестация — для объекта информатизации.
Если рассуждать о добровольной оценке всего объекта, то есть ещё очень много добровольных способов оценки соответствия.
Например оценка соответствия ISO 27001 чем хуже? И методики есть и примеры.
2 Сергей Б — ИСПДн это тоже продукция 😉 Что-то Вы в терминах запутались. А вот по 27001 проводится как раз аудит системы менеджмента информационной безопасности. Я всеми руками ЗА 27001, только сертифицированы порядка двух десятком компаний в РОссии всего. ДА и масштаб затрат совсем другой. А по поводу результата в другом посте наверное спорить надо.
Давно ли ИСПДн стала продукцией? 😉
2 Алексей Волков — с момента подписания ФЗ-152 😉
А "продукцией" в треминологии чего? 15408?
Продукция — к ИСПДн не применима.
Продукция — это законченный результат некой деятельности. Купил результат и используешь его: хочешь в одно место поставил, хочешь в другое, хочешь установил ещё в один офис. От этого продукт не меняется и необходимость повторной оценки соответствия не возникает.
А информационная система — это совсем другое. Любое изменение в местах обработки, в технологии обработки, в составе обрабатываемых данных приводит к изменению системы.
Если мы проведем добровольную оценку соответствия ИСПДн в виде аттестации, то при любом изменении информационной системы, нам необходимо сделать как минимум частичную переоценку.
Разница есть.
Что за обывательские разговорчики? 🙂 Продукция она и есть продукция — набор товаров это тоже продукция. С точки зрения сертификации "продукция — результат деятельности, представленный в материально-вещественной форме и предназначенный для дальнейшего использования в хозяйственных и иных целях". Кто будет спорить что ИСПДн не продукция? С другой стороны сертификации — услуга. Кто-нибудь готов отнести ИСПДн к услуге? Неизменность продукта? ЛЮБОЙ предмет материальный меняет свои свойства, от этого он не перестает быть ПРОДУКЦИЕЙ! Смешно устраивать здесь ликбез. 🙂
Эва как… Такие рассуждения обычно вызвают "терминологические черви" — заболевание опасное прежде всего своими осложнениями (по своему опыту знаю) :))
Вы слышали что-нибудь про SaaS, HaaS, м? Вот Вам примерчик. Заезжаю я в офис, а там — ну все есть: и локалка, и сервера, и 1С на них. Арендодатель мне говорит: я тебе это все в аренду сдаю. Все чистое, с нуля, конфигурации только сам настраивай, я тебе из аренды вычту. Ну и если ПДн будешь обрабатывать — то это твои проблемы.
Нигде не написано, что ИСПДн должна быть в собственности. Что я делаю? Правильно, настраиваю все под себя и начинаю свою операторскую деятельность. ИСПДн классифицирую… НО она же не моя — я получаю ее как услугу, причем всю, целиком!
К чему мы пришли? Где тут продукт, где услуга? Помогите, я запутался :)))
2 Алексей Волков — Вы меня пугаете, Алексей! 🙂 Saas и Haas действительно подразумевают услугу — поддержку и настройку ПО и Железа соответственно. А то, что описали Вы с арендой офиса, это аренда ИСПДн, то есть продукции. А все, что Вы с ней делаете — Ваши проблемы и арендодатель в это дело не лезет. Учите матчасть!
Эпэпэ, коллега 🙂 Арендодатель сдает в аренду НЕ ИСПДн, а инфраструктуру. ИСПДНом она становится тогда, когда в ней появляются ПДн, причем ИСПДНом оператора — арендатора, и как только тот оттуда съедет — сразу прекратит свое существование как таковая.
ЗЫ да, такой я страшный
Если бы арендодатель сдавал в аренду ИСПДн, то он и должен был бы принять все меры по безопасности-конфиденциальности. А так все это лежит на арендаторе.
Итого, имеем: где же тут продукция начинается и когда она заканчивается?
Подытожу: продукция — всё материальное, услуги — это действия, деятельность (как процесс) людей. Какие могут быть пересечения и сомнения я не пойму. 🙂 документ — ИСПДн, а действия, которые вы по документу делаете — услуга.
Пропустил один комментарий. Арендодатель сдает набор продукции в виде серверов, рабочих станций, ПО и т.д. В момент передачи Вы ее можете оценить, например, на соответствие требованиям по совместимости, отказоустойчивости и т.д. Как только Вы загружаете туда ПДн, этот набор железа и ПО становится ИСПДн и может оцениваться на соответствие требованиям по защите ПДн (ФСТЭК, ФСБ, РКН, какие только выдумаете). Что оценивается – механизмы защиты, которые настроены – идентификация, разграничения доступа, антивир и т.д. И здесь то вполне применима система сертификации ФСТЭК – в случае чистого железа, ПО и документации можно сертифицировать всю систему (например, так сертифицируют в министерстве обороны). В случае учета организационных мер можно аттестовывать в системе аттестации ФСТЭК России. Надоело переписываться, скажите, как назвать ИСПДн – услуга, комплекс и т.д.?
Ответ кроется в вопросе. Это информационная система, включающая в себя средства автоматизации (БД и СВТ) и неавтоматизированные средства). Смотрите 152-ФЗ и ПП781. То есть АС может быть как ИСПДн (если в ней обрабатываются ПДн), так и ее составной частью (если помимо автоматизированной обработки есть еще неавтоматизированная, участвующая в этих же процессах).
Можно, конечно, попытаться привязать ее к продукту, но я не зря спросил, в какой это терминологии. В терминологии 15408 тот пример, что я привел, к ИТ-продукту не привяжешь. А в другой — хз. В любом случае, я думаю, что ИСПДН это все же АС, в котороой обрабатываются ПДн.
А что ВЫ подразумеваете под неавтоматизированными средствами? ЧТо-то новенькое в российской терминологии. Итак, ликбез: информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств втоматизации или без использования таких средств. ВСе это материальные средства (ну за исключением непосредственно ПДн, которые являются информацией), которые могут быть продукцией. Соответственно ИСПДн — это некая совокупность продукции. Откуда у ВАс взялся термин АС непонятно, я бы не стал асоциировать с АС в терминологии ФСТЭК чтобы не путать. В 15408 полная путаница с системами и ИТ, входящая в конфликт с понятиями остальных документов ФСТЭК, так что лучше не ссылаться на ОК. Чтобы не путаться в терминах нужно для себя изначально очертить перечень НМД, которые используются и утвердить терминологию. К сожалению большинство интеграторов слишком вольно оперируют терминами и определениями… ВСё, устал спорить. ВСем спасибо.
Это не моя придумка — это вытекает из определения:
> с использованием средств автоматизации или без использования таких средств
То есть ИСПДн может содержать, а может и не содержать средства автоматизации.
Упорядоченная совокупность (средств автоматизации) выступающая как единое но делимое целое и служащее единой цели и есть (автоматизированная) система. Как-то так в философии (в скобках — для ИТ).
Ну а с терминологией я согласен, и все же у меня в голове плотно сидят ОК, (там все достаточно понятно кстати). Поэтому и спросил где точка отсчета.
То что АС совокупность ИТ-продуктов — тоже согласен. Но вот дальше что-то как-то… Читаю:
> Откуда у ВАс взялся термин АС непонятно, я бы не стал асоциировать с АС в терминологии ФСТЭК чтобы не путать.
Я ссылался именно на нее, однако Вы говорите что на нее не будем ссылаться. ОК, ладно. Далее:
> В 15408 полная путаница с системами и ИТ, входящая в конфликт с понятиями остальных документов ФСТЭК, так что лучше не ссылаться на ОК.
Но мы же только что выше договорились, что на ФСТЭК не ссылаемся. Теперь — не ссылаемся и на ОК? Позвольте, но тогда на что же? На Ваше мировоззрение? Тогда к чему такие длиииинные тексты — просто сказали бы — я так думаю, и никто меня не разубедит 🙂
ЗЫ: Спасибо за ликбез, кстати :))))
Алексей Т: в вашем ликбезе вы забыли один момент.
Частью ИСПДн являются Информационные технологии, позволяющие осуществлять обработку ПДн.
В соответствии с 149-ФЗ,
"информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов"
Это не материальные средства и не могут быть названы продукцией.
Почти докопались до истины, предлагаю закончить….
До истины мы никогда не докопаемся 🙂 Если включить МОЕ ПЕРСОНАЛЬНОЕ обывательское мировоззрение — то продукт — это нечто, что можно потрогать, в красивой упаковке и приложенным к нему сертификатом. Но в какой информационной системе будеть он применяться, для каких целей, и какие технологии обработки информации будут с его помощью реализованы — это совсем другое дело, от продукта никак не зависящее.
Устал спорить, истина где-то посередине однозначно. 🙂 Согласен, что ИТ не продукция (точнее не все ИТ, хотя и процесс можно считать продукцией ;-)). Напомню исходные данные спора — чем же считать ИСПДн в рамках ФЗ о ТР и как его сертифицировать? Я придерживаюсь (и применяю успешно у Заказчиков) подхода аттестации ИСПДн по требованиям ФСТЭК. И всем нравится, у всех получается сопровождать систему и применять материалы аттестации…
"То есть АС может быть как ИСПДн (если в ней обрабатываются ПДн), так и ее составной частью (если помимо автоматизированной обработки есть еще неавтоматизированная, участвующая в этих же процессах)."
а что, в АС не бывает неавтоматизированной обработки?
По сути, процедура Декларирования в данный момент "высасана из пальца" т.к. нет технического регламента на который она опирается. Я считаю, что вполне достаточно:
1) Аттестации ИСПД (НСД) по СТР-К, т.к его можно применять. Измерения ПЭМИН производить не обязательно.
2) Заключения тех службы оператора.
Других компетентных мер я лично не вижу до тех пор, пока ФСТЭК нас чем нибудь не "обрадует".
to pushkinist: опять же, смотря что считать неавтоматизированной :)))
to Алексей Т.: ну вот, а общественность будоражили. Продукт, продукт… :)))
Конечно продукт!!!!Иначе совсем запутаем народ… 🙂 ОЦениваем систему как продукт — со своими границами и ограничениями. Других вариантов ФЗ о ТР нам не предоставляет.
Алексею Т.: Ну, $%#$&^&$&#%#^%#^%&^&)(*_)&)*^%&$%& !!! :)))))