Comments 26
«За все время существования закона о ПДн не выпущено ни одного техничекого регламента.»
А ЭТО тогда что?
www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/rukovodyaschii-dokument-sredstva-vychislitelnoi-tehniki-zaschita-ot-nesankcionirovannogo-dostupa-k-informacii-pokazateli-zaschischennosti-ot-nesankcionirovannogo-dostupa-k-informacii
www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/rukovodyaschii-dokument-sredstva-vychislitelnoi-tehniki-mezhsetevye-ekrany-zaschita-ot-nesankcionirovannogo-dostupa-pokazateli-zaschischennosti-ot-nesankcionirovannogo-dostupa-k-informacii
www.securitylab.ru/blog/personal/Business_without_danger/21084.php
Вы хоть изучите немного вопрос, прежде чем писать.
Берем РД и прямо по нему проверяем соответствие.
А ЭТО тогда что?
www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/rukovodyaschii-dokument-sredstva-vychislitelnoi-tehniki-zaschita-ot-nesankcionirovannogo-dostupa-k-informacii-pokazateli-zaschischennosti-ot-nesankcionirovannogo-dostupa-k-informacii
www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/rukovodyaschii-dokument-sredstva-vychislitelnoi-tehniki-mezhsetevye-ekrany-zaschita-ot-nesankcionirovannogo-dostupa-pokazateli-zaschischennosti-ot-nesankcionirovannogo-dostupa-k-informacii
www.securitylab.ru/blog/personal/Business_without_danger/21084.php
Вы хоть изучите немного вопрос, прежде чем писать.
Берем РД и прямо по нему проверяем соответствие.
Эти документы я довольно хорошо знаю. Но сильно сомневаюсь, что они являются Техническими регламентами. Всё таки это Руководящие документы.
Если юридически они являются, то я только за всеми ногами. Авось в споре родится истина.
Если юридически они являются, то я только за всеми ногами. Авось в споре родится истина.
Тогда прошу ответить на вопрос.
По каким регламентам в нашей стране происходит сертификация?
По каким регламентам в нашей стране происходит сертификация?
А ни по каким, клепается методика для каждого продукта в серт. лаборатории и отправляется на согласование в сертифицирующий орган, который (как повезет) либо согласует, либо нет. А у нас в России всё так: у тебя есть бумажка, что ты можешь что-то делать, тогда можно делать через одно место, а вот если нет бумажки, то и по закону не всегда поможет.
А я, вот, знаю что вся сертификация СЗИ у нас делается по РД.
Если отсутствует РД — делается по ТУ.
Если отсутствует РД — делается по ТУ.
Что значит делается по РД? На соответствие требованиям РД? Никто и не спорит.
Я вообще не понимаю чего вы добиваетесь. Оттачиваете «мастер-класс российских политиков»? Или что?
Я прямо сижу и уговариваю не делать декларирование соответствия. Оно мне надо? Делайте. Где рецепт этого вселенского счастья? Напишите пошаговый howto. Думаю все обрадуются.
Я вообще не понимаю чего вы добиваетесь. Оттачиваете «мастер-класс российских политиков»? Или что?
Я прямо сижу и уговариваю не делать декларирование соответствия. Оно мне надо? Делайте. Где рецепт этого вселенского счастья? Напишите пошаговый howto. Думаю все обрадуются.
Цитирую Волкова
anvolkov.blogspot.ru/2011/08/1.html
О техрегламенте говорит все тот же 184-ФЗ:
Ст. 7 п. 3: Технический регламент должен содержать перечень и (или) описание объектов технического регулирования, требования к этим объектам и правила их идентификации в целях применения технического регламента. Технический регламент должен содержать правила и формы оценки соответствия…
Вот только техрегламентов для средств защиты информации до сих пор не придумано, а значит:
Ст. 46 п. 2: До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами.
Ст. 5 п. 1: В отношении … продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации…
anvolkov.blogspot.ru/2011/08/1.html
Согласен.
Смущает только пункт:
Смущает только пункт:
4. До вступления в силу соответствующих технических регламентов схема декларирования соответствия на основе собственных доказательств допускается для применения только изготовителями или только лицами, выполняющими функции иностранного изготовителя.
Статья 46. Переходные положения
подлежат обязательному исполнению только в части, соответствующей целям:
защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества;
охраны окружающей среды, жизни или здоровья животных и растений;
предупреждения действий, вводящих в заблуждение приобретателей.
В своей статье вы продемонстрировали полнейшую некомпетентность в вопросе.
Конечно, мы не можем просто написать «соответствует». Придется самим делать проверки и писать документы.
В соответсвии с РД. И искользовать сертифицированные криптосредства, потому что так проще декларировать соответствие КС1 и КС2.
Конечно, мы не можем просто написать «соответствует». Придется самим делать проверки и писать документы.
В соответсвии с РД. И искользовать сертифицированные криптосредства, потому что так проще декларировать соответствие КС1 и КС2.
Ну если стоит задача поспорить, то возможно. Если окажусь не прав, буду, скорее даже рад.
Вы написали разгромную статью и указали на отсутствие технических регламентов.
Вам указали на то что это заблуждение и привели ссылки на соответствующие регламенты.
Вы варажаете сомнения в том что руководящие документы обязательны к исполнению? Или вы считаете что РД например по МЭ или СВТ — это не технические регламенты?
Вам указали на то что это заблуждение и привели ссылки на соответствующие регламенты.
Вы варажаете сомнения в том что руководящие документы обязательны к исполнению? Или вы считаете что РД например по МЭ или СВТ — это не технические регламенты?
Задача — грамотно и красиво выполнить требования закона. С минимальными затратами.
Спорить есть смысл по конкретным вопросам По теме, конечно же. Я вам их задал. Жду ответов.
Спорить есть смысл по конкретным вопросам По теме, конечно же. Я вам их задал. Жду ответов.
Я не увидел ссылок на регламенты. И не вижу ничего разгромного в посте.
Не путайте холодное с мокрым. Руководящие документы не подходят под определение технических регламентов, и при чем тут собственно их обязательность, если мы выясняем, есть ли вообще тех. регламенты:
а) тех. регламент — документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации. У нас Председатель ГТК (или как приемник ФСТЭК) стал Президентом РФ? Или ФСТЭК стал Правительством?
б) тех. регламент помимо требований в том числе должен «содержать правила и формы оценки соответствия», это процессный документ. Указанные вами документы — "что требуется получить", технические регламенты должны описывать "как".
в) например у нас в РФ есть «Технический регламент на табачную продукцию» или «ФЗ „О безопасности зданий и сооружений“, где тех. регламент на СЗИ?
Я привел аргументы, докажите обратное.
Не путайте холодное с мокрым. Руководящие документы не подходят под определение технических регламентов, и при чем тут собственно их обязательность, если мы выясняем, есть ли вообще тех. регламенты:
а) тех. регламент — документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации. У нас Председатель ГТК (или как приемник ФСТЭК) стал Президентом РФ? Или ФСТЭК стал Правительством?
б) тех. регламент помимо требований в том числе должен «содержать правила и формы оценки соответствия», это процессный документ. Указанные вами документы — "что требуется получить", технические регламенты должны описывать "как".
в) например у нас в РФ есть «Технический регламент на табачную продукцию» или «ФЗ „О безопасности зданий и сооружений“, где тех. регламент на СЗИ?
Я привел аргументы, докажите обратное.
Сделайте обещанный пост с формами документов и обоснованиями.
Это вы про мою статью?)
Да, про оценку соответствия, с упором на РД и тд с шаблонами документов.
habrahabr.ru/post/200894/
Можно даже в некоем сыром виде, в личку, если не затруднит.
Может это все и филькина грамота, но есть правило, чем больше документов, тем больше «внушаит». Поэтому интересен опыт.
habrahabr.ru/post/200894/
Можно даже в некоем сыром виде, в личку, если не затруднит.
Может это все и филькина грамота, но есть правило, чем больше документов, тем больше «внушаит». Поэтому интересен опыт.
Нет задачи написать как можно больше бумаги и пустить пыль в глаза.
Есть задача четко обосновать те или иные методы защиты, по возможности минуя процедуру сертификации.
Ограничивается это стремление только здравым смыслом.
Мы тут с товарищем дошли и до того что даже по РД не совсем корректно будет проверять.
У нас осталось только 1119 ПП. Пока единственные понятный и легитимный документ, описывающий что делать.
Все остальное даже за уши притянуть не получилось.
Я выделю время и напишу запланированную статью с примерными шаблонами документов.
Есть задача четко обосновать те или иные методы защиты, по возможности минуя процедуру сертификации.
Ограничивается это стремление только здравым смыслом.
Мы тут с товарищем дошли и до того что даже по РД не совсем корректно будет проверять.
У нас осталось только 1119 ПП. Пока единственные понятный и легитимный документ, описывающий что делать.
Все остальное даже за уши притянуть не получилось.
Я выделю время и напишу запланированную статью с примерными шаблонами документов.
В начале поста была ошибка. Я, ссылаясь по названию на свою предыдущую статью, вставил ссылку на пост Klukonin Защита информации и сертификация. Если нет разницы — зачем платить больше?.
Извиняюсь, затупил.
Извиняюсь, затупил.
Sign up to leave a comment.
Почему оценка соответсвия средств защиты информации и есть сертификация