И вновь об оценке соответствия

Разное
И вновь вернусь к теме оценки соответствия. Уж очень часто эту оценку приравнивают к сертификации. На самом деле это не так. Фраза «оценка соответствия в установленном порядке» замечательно иллюстрируется данной картинкой, которую я сделал на основе анализа закона о техническом регулировании, т.к. именно он определяет, что такое оценка соответствия.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    "Иная форма" открывает неограниченный простор для вариантов 🙂

    Ответить
  2. Алексей Лукацкий

    Не все так просто. По закону особенности оценки соответствия устанавливает Правительство

    Ответить
  3. Unknown

    Если буквоедить — то "особенности" и "формы" — разные вещи 🙂

    Ответить
  4. Алексей Т.

    Все правильно, потому и приравнивают, что все остальные формы у нас в зачаточном состоянии. 😉 Аттестация ИСПДн между прочим относится к сертификации — некая форма сертификации получается у ФСТЭК.

    Ответить
  5. Сергей Борисов

    Только вот аттестацию лучше не приплетать. Её легитимность под вопросом.

    Ответить
  6. sany

    Этот комментарий был удален автором.

    Ответить
  7. sany

    Значит можно выбрать в качестве оценки соответствия выбрать — "Приемка и ввод в эксплуатацию". Написать акты ввода и не надо сертифицированить, пока не будет обязательных требований законом или ПП опубликованным и зарегистрированным в минюсте?

    Ответить
  8. Unknown

    Смотря для чего. Для ПДн, например, есть такая штука как "оценка результатов оценки соответствия в форме экспертизы" и "регистрационные номера в реестре СЗИ". И то и другое происходит только при обязательной сертификации. Однако если потребуют — можно сказать в ответ, что вы нигде не видели установленных правил проведения экспертизы и она у вас не проводилась, так как не проводилась проверка ФСТЭК, точно так же, как и не видели правил присвоения этих самых регистрационных номеров. Ну а если сошлются на обязательную сертификацию — можно сказать, что СЗИ не включены в перечень товаров, подлежащих обязательной сертификации.

    Ответить
  9. Алексей Лукацкий

    Я сторонник иного подхода. Одной из форм оценки является контроль и надзор. Вот я и жду, когда придет ко мне ФСТЭК с плановой проверкой (согласованной с прокуратурой) и оценит соответствие 😉

    Ответить
  10. Unknown

    Так это те же … только вид сбоку 🙂

    Ответить
  11. Анонимный

    Картинка ФЗ соответствует… Перечислили какие бывают.
    Но…
    Кто теперь распишет в каких случаях какой подход применять и что интересно сам порядок…
    А есть перечень — классификация, где написано что для продукции 1,2,3 по классификатору оценка такая то в соответствии с таким то порядком… а для 4,5,6 пи условии *** — оценка вот такая и в соответствии с другим порядком…

    Такого ответа нет… или есть но не вполне четкий, юридически верный, оспариваемый и т.п.

    Ответить
  12. Алексей Т.

    Алексею: Алексей, я тоже считал раньше всё это формами оценки соответствия, но все Ваши доводы не учитывают, что это формы оценки применимые только к техническим регламентам (глава 2 ФЗ о ТР, предыдущий абзац об этом явно говорит). К сожалению, по информационной безопасности были разработаны по моей информации 2 регламента, которые так и не были приняты, так что эти формы оценки соответствия к нам не относятся. А вот в главе 4 явно указаны формы подтверждения соответствия, в которых есть сертификация и декларирование. Так что инспекторы провести оценку гипотетически могут, а вот подтвердить соответствие нет 😉
    Сергею Б. Легитимность ДОБРОВОЛЬНОЙ аттестации без вопросов – есть установленная форма оценки, документы, порядок и т.д. Найдите любую другую форму оценки соответствия в области ИБ, которая была бы так регламентирована. По поводу юридической значимости (старые документы, нет регистрации в Минюсте) – какая разница, если ФСТЭК ее признает, аккредитует органы по аттестации, устанавливает требования и осуществляет контроль?
    Жаль, что декларирование подразумевает обязательную экспертизу органа по сертификации, красивое слово «декларирование», а вот сложностей с ним больше, чем с сертификацией.

    Ответить
  13. Анонимный

    Алексей Т. по фз о ТР ст. 24: есть 2 схемы декларирования… причем 1ая как раз без участия органа по сертификации (собственные док-ва и т.д.).
    хз кароче мб я путаю что-то, но тут вроде тож все по тех. регламенту )))

    Ответить
  14. Алексей Т.

    2 prisonpod Точно, и здесь по техрегламенту, и плюс подлежит регистрация декларации в едином регистре, которого фактически нет. Мутное дело в общем… Но по поводу остальных форм подтверждения соответствия — нет их.

    Ответить
  15. Сергей Борисов

    Алексей Т: в первоначальном посте речь шла об оценке соответствия продукции — средств защиты информации.

    А аттестация — для объекта информатизации.

    Если рассуждать о добровольной оценке всего объекта, то есть ещё очень много добровольных способов оценки соответствия.
    Например оценка соответствия ISO 27001 чем хуже? И методики есть и примеры.

    Ответить
  16. Алексей Т.

    2 Сергей Б — ИСПДн это тоже продукция 😉 Что-то Вы в терминах запутались. А вот по 27001 проводится как раз аудит системы менеджмента информационной безопасности. Я всеми руками ЗА 27001, только сертифицированы порядка двух десятком компаний в РОссии всего. ДА и масштаб затрат совсем другой. А по поводу результата в другом посте наверное спорить надо.

    Ответить
  17. Unknown

    Давно ли ИСПДн стала продукцией? 😉

    Ответить
  18. Алексей Т.

    2 Алексей Волков — с момента подписания ФЗ-152 😉

    Ответить
  19. Unknown

    А "продукцией" в треминологии чего? 15408?

    Ответить
  20. Сергей Борисов

    Продукция — к ИСПДн не применима.
    Продукция — это законченный результат некой деятельности. Купил результат и используешь его: хочешь в одно место поставил, хочешь в другое, хочешь установил ещё в один офис. От этого продукт не меняется и необходимость повторной оценки соответствия не возникает.

    А информационная система — это совсем другое. Любое изменение в местах обработки, в технологии обработки, в составе обрабатываемых данных приводит к изменению системы.
    Если мы проведем добровольную оценку соответствия ИСПДн в виде аттестации, то при любом изменении информационной системы, нам необходимо сделать как минимум частичную переоценку.
    Разница есть.

    Ответить
  21. Алексей Т.

    Что за обывательские разговорчики? 🙂 Продукция она и есть продукция — набор товаров это тоже продукция. С точки зрения сертификации "продукция — результат деятельности, представленный в материально-вещественной форме и предназначенный для дальнейшего использования в хозяйственных и иных целях". Кто будет спорить что ИСПДн не продукция? С другой стороны сертификации — услуга. Кто-нибудь готов отнести ИСПДн к услуге? Неизменность продукта? ЛЮБОЙ предмет материальный меняет свои свойства, от этого он не перестает быть ПРОДУКЦИЕЙ! Смешно устраивать здесь ликбез. 🙂

    Ответить
  22. Unknown

    Эва как… Такие рассуждения обычно вызвают "терминологические черви" — заболевание опасное прежде всего своими осложнениями (по своему опыту знаю) :))

    Вы слышали что-нибудь про SaaS, HaaS, м? Вот Вам примерчик. Заезжаю я в офис, а там — ну все есть: и локалка, и сервера, и 1С на них. Арендодатель мне говорит: я тебе это все в аренду сдаю. Все чистое, с нуля, конфигурации только сам настраивай, я тебе из аренды вычту. Ну и если ПДн будешь обрабатывать — то это твои проблемы.

    Нигде не написано, что ИСПДн должна быть в собственности. Что я делаю? Правильно, настраиваю все под себя и начинаю свою операторскую деятельность. ИСПДн классифицирую… НО она же не моя — я получаю ее как услугу, причем всю, целиком!

    К чему мы пришли? Где тут продукт, где услуга? Помогите, я запутался :)))

    Ответить
  23. Алексей Т.

    2 Алексей Волков — Вы меня пугаете, Алексей! 🙂 Saas и Haas действительно подразумевают услугу — поддержку и настройку ПО и Железа соответственно. А то, что описали Вы с арендой офиса, это аренда ИСПДн, то есть продукции. А все, что Вы с ней делаете — Ваши проблемы и арендодатель в это дело не лезет. Учите матчасть!

    Ответить
  24. Unknown

    Эпэпэ, коллега 🙂 Арендодатель сдает в аренду НЕ ИСПДн, а инфраструктуру. ИСПДНом она становится тогда, когда в ней появляются ПДн, причем ИСПДНом оператора — арендатора, и как только тот оттуда съедет — сразу прекратит свое существование как таковая.

    ЗЫ да, такой я страшный

    Ответить
  25. Unknown

    Если бы арендодатель сдавал в аренду ИСПДн, то он и должен был бы принять все меры по безопасности-конфиденциальности. А так все это лежит на арендаторе.

    Итого, имеем: где же тут продукция начинается и когда она заканчивается?

    Ответить
  26. Алексей Т.

    Подытожу: продукция — всё материальное, услуги — это действия, деятельность (как процесс) людей. Какие могут быть пересечения и сомнения я не пойму. 🙂 документ — ИСПДн, а действия, которые вы по документу делаете — услуга.

    Ответить
  27. Алексей Т.

    Пропустил один комментарий.  Арендодатель сдает набор продукции в виде серверов, рабочих станций, ПО и т.д. В момент передачи Вы ее можете оценить, например, на соответствие требованиям по совместимости, отказоустойчивости и т.д. Как только Вы загружаете туда ПДн, этот набор железа и ПО становится ИСПДн и может оцениваться на соответствие требованиям по защите ПДн (ФСТЭК, ФСБ, РКН, какие только выдумаете). Что оценивается – механизмы защиты, которые настроены – идентификация, разграничения доступа, антивир и т.д. И здесь то вполне применима система сертификации ФСТЭК – в случае чистого железа, ПО и документации можно сертифицировать всю систему (например, так сертифицируют в министерстве обороны). В случае учета организационных мер можно аттестовывать в системе аттестации ФСТЭК России. Надоело переписываться, скажите, как назвать ИСПДн – услуга, комплекс и т.д.?

    Ответить
  28. Unknown

    Ответ кроется в вопросе. Это информационная система, включающая в себя средства автоматизации (БД и СВТ) и неавтоматизированные средства). Смотрите 152-ФЗ и ПП781. То есть АС может быть как ИСПДн (если в ней обрабатываются ПДн), так и ее составной частью (если помимо автоматизированной обработки есть еще неавтоматизированная, участвующая в этих же процессах).

    Можно, конечно, попытаться привязать ее к продукту, но я не зря спросил, в какой это терминологии. В терминологии 15408 тот пример, что я привел, к ИТ-продукту не привяжешь. А в другой — хз. В любом случае, я думаю, что ИСПДН это все же АС, в котороой обрабатываются ПДн.

    Ответить
  29. Алексей Т.

    А что ВЫ подразумеваете под неавтоматизированными средствами? ЧТо-то новенькое в российской терминологии. Итак, ликбез: информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств втоматизации или без использования таких средств. ВСе это материальные средства (ну за исключением непосредственно ПДн, которые являются информацией), которые могут быть продукцией. Соответственно ИСПДн — это некая совокупность продукции. Откуда у ВАс взялся термин АС непонятно, я бы не стал асоциировать с АС в терминологии ФСТЭК чтобы не путать. В 15408 полная путаница с системами и ИТ, входящая в конфликт с понятиями остальных документов ФСТЭК, так что лучше не ссылаться на ОК. Чтобы не путаться в терминах нужно для себя изначально очертить перечень НМД, которые используются и утвердить терминологию. К сожалению большинство интеграторов слишком вольно оперируют терминами и определениями… ВСё, устал спорить. ВСем спасибо.

    Ответить
  30. Unknown

    Это не моя придумка — это вытекает из определения:

    > с использованием средств автоматизации или без использования таких средств

    То есть ИСПДн может содержать, а может и не содержать средства автоматизации.

    Упорядоченная совокупность (средств автоматизации) выступающая как единое но делимое целое и служащее единой цели и есть (автоматизированная) система. Как-то так в философии (в скобках — для ИТ).

    Ну а с терминологией я согласен, и все же у меня в голове плотно сидят ОК, (там все достаточно понятно кстати). Поэтому и спросил где точка отсчета.

    То что АС совокупность ИТ-продуктов — тоже согласен. Но вот дальше что-то как-то… Читаю:

    > Откуда у ВАс взялся термин АС непонятно, я бы не стал асоциировать с АС в терминологии ФСТЭК чтобы не путать.

    Я ссылался именно на нее, однако Вы говорите что на нее не будем ссылаться. ОК, ладно. Далее:

    > В 15408 полная путаница с системами и ИТ, входящая в конфликт с понятиями остальных документов ФСТЭК, так что лучше не ссылаться на ОК.

    Но мы же только что выше договорились, что на ФСТЭК не ссылаемся. Теперь — не ссылаемся и на ОК? Позвольте, но тогда на что же? На Ваше мировоззрение? Тогда к чему такие длиииинные тексты — просто сказали бы — я так думаю, и никто меня не разубедит 🙂

    ЗЫ: Спасибо за ликбез, кстати :))))

    Ответить
  31. Сергей Борисов

    Алексей Т: в вашем ликбезе вы забыли один момент.
    Частью ИСПДн являются Информационные технологии, позволяющие осуществлять обработку ПДн.

    В соответствии с 149-ФЗ,
    "информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов"

    Это не материальные средства и не могут быть названы продукцией.

    Ответить
  32. Алексей Т.

    Почти докопались до истины, предлагаю закончить….

    Ответить
  33. Unknown

    До истины мы никогда не докопаемся 🙂 Если включить МОЕ ПЕРСОНАЛЬНОЕ обывательское мировоззрение — то продукт — это нечто, что можно потрогать, в красивой упаковке и приложенным к нему сертификатом. Но в какой информационной системе будеть он применяться, для каких целей, и какие технологии обработки информации будут с его помощью реализованы — это совсем другое дело, от продукта никак не зависящее.

    Ответить
  34. Алексей Т.

    Устал спорить, истина где-то посередине однозначно. 🙂 Согласен, что ИТ не продукция (точнее не все ИТ, хотя и процесс можно считать продукцией ;-)). Напомню исходные данные спора — чем же считать ИСПДн в рамках ФЗ о ТР и как его сертифицировать? Я придерживаюсь (и применяю успешно у Заказчиков) подхода аттестации ИСПДн по требованиям ФСТЭК. И всем нравится, у всех получается сопровождать систему и применять материалы аттестации…

    Ответить
  35. pushkinist

    "То есть АС может быть как ИСПДн (если в ней обрабатываются ПДн), так и ее составной частью (если помимо автоматизированной обработки есть еще неавтоматизированная, участвующая в этих же процессах)."

    а что, в АС не бывает неавтоматизированной обработки?

    Ответить
  36. Unknown

    По сути, процедура Декларирования в данный момент "высасана из пальца" т.к. нет технического регламента на который она опирается. Я считаю, что вполне достаточно:

    1) Аттестации ИСПД (НСД) по СТР-К, т.к его можно применять. Измерения ПЭМИН производить не обязательно.
    2) Заключения тех службы оператора.

    Других компетентных мер я лично не вижу до тех пор, пока ФСТЭК нас чем нибудь не "обрадует".

    Ответить
  37. Unknown

    to pushkinist: опять же, смотря что считать неавтоматизированной :)))

    Ответить
  38. Unknown

    to Алексей Т.: ну вот, а общественность будоражили. Продукт, продукт… :)))

    Ответить
  39. Алексей Т.

    Конечно продукт!!!!Иначе совсем запутаем народ… 🙂 ОЦениваем систему как продукт — со своими границами и ограничениями. Других вариантов ФЗ о ТР нам не предоставляет.

    Ответить
  40. Unknown

    Алексею Т.: Ну, $%#$&^&$&#%#^%#^%&^&)(*_)&)*^%&$%& !!! :)))))

    Ответить