Как поймать то, чего нет. Часть пятая: Миф о необходимости сертифицированного ПО

    За рамками предыдущей статьи, в которой мы рассматривали мифы в области защиты персональных данных ( habrahabr.ru/post/255595 ), остался интереснейший вопрос о необходимости использования сертифицированных продуктов. Традиционно, если компания хочет реализовать требования регуляторов, то она закупает (но не факт, что использует :-) ) сертифицированные продукты. Такова сложившаяся практика.

    При этом большинство отлично понимает все проблемы, связанные с использованием таких продуктов — но покорно идет в общей массе. А что если заглянуть в законы и приказы и определить требования самостоятельно?

    Традиционно считается, что использование сертифицированных продуктов требуется согласно многих документов регуляторов. Рассмотреть все подобные документы в рамках одной статьи невозможно. Поэтому проиллюстрируем глубину заблуждения на примере документов регуляторов, связанных с Федеральным законом № 152-ФЗ, — именно в целях исполнения этого закона в большинстве случаев и приобретаются сертифицированные версии.

    Начнем с цитат Федерального закона № 152-ФЗ (в ред. Федерального закона от 25.07.2011 № 261-ФЗ), ибо он первичен.

    Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
    1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
    3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
    Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
    2. Обеспечение безопасности персональных данных достигается, в частности:
    2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
    3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

    Исходя из написанного:

    1. Оператор самостоятельно выбирает меры защиты — в пределах ограничений, накладываемых этим или иными федеральными законами, а также актами регуляторов (ФСТЭК России, ФСБ России, Роскомнадзора).
    2. Слова «в частности» означают, что список мер, включенных в закон, — это список того, что можно, но не обязательно применять. И (забегая вперед) необязательность применения средств сертификации видна и в подзаконных актах!

    И сразу проблема. Федеральный закон № 152-ФЗ не содержит глоссария, не имеет отсылки на глоссарий и не входит в какой-либо пакет законов, в составе которых имеется глоссарий. Соответственно, что есть в законе «установленный порядок оценки соответствия», и кем он установлен — нигде не сказано. Поэтому далее мы вступаем на зыбкую дорогу:

    • Ведущие блогеры и эксперты могут утверждать (и утверждают), что в неком документе/законе/стандарте сказано, что процедура оценки соответствия — это… Но толковать законы в нашей стране не могут ни эксперты, ни регуляторы — только Государственная Дума и суд. Желательно Верховный Суд РФ. Но подобные комментарии Верховного Суда РФ можно пересчитать по пальцам. Так что пока в законе не пропишут, что есть оценка соответствия, или по этому поводу не сделает разъяснения Верховный Суд РФ — никто не может своим веским словом определить какое-либо понятие.
    • Определенные в Законе регуляторы не могут сузить какое-либо понятие — они не имеют права корректировать закон в сторону сужения или расширения каких-либо понятий. Это следует и из общих понятий правового государства, да и из самого Федерального закона № 152-ФЗ:

      Статья 4. Законодательство Российской Федерации в области персональных данных
      2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности

    По факту — да, регуляторы выпускают свои толкования, но в весьма обтекаемых формулировках. Однако, рассмотрим иной пример. Например, в Конституции РФ прописаны свобода слова и собраний. Формально мы имеем право собираться, где хотим и когда хотим, но по факту для проведения массового мероприятия нужно получить разрешение.

    Теперь посмотрим, кто может уточнить требования в области мер защиты.

    Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
    2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
    Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
    3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
    2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
    4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
    5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

    Исходя из этого Правительство РФ и регуляторы могут и обязаны выпускать требования по защите. Остальные органы могут только определить список угроз, а также порядок учета персональных данных. И все было бы хорошо, если бы не:

    Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
    3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

    То есть правительство обязывается выпустить перечень мер только для государственных органов! Вокруг этого пункта также было сломано немало копий в сражениях по вопросу о том, может или не может правительство устанавливать требования по защите для коммерческих организаций.

    Не будем пытаться понять логику и перейдем к ПП 1119, выпущенному правительством во исполнение положений Федерального закона № 152-ФЗ:

    13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
    г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

    Для более высоких уровней защиты требования по оценке соответствия не изменяются, поэтому приводить здесь мы их не будем.
    Казалось бы, та же оценка соответствия. Но внимательный глаз видит разницу с требованиями Закона:

    • «соответствия требованиям законодательства Российской Федерации». Закон этого не требовал, и получается, что выбранный вами продукт может соответствовать международным — не российским — критериям безопасности — расширять требования закона нельзя!
    • требования должны быть в области обеспечения безопасности информации. Это тоже ограничение, хотя и логичное. Возможно, оно возникло в связи с тем, что один из вендоров прописывал в сертификате «соответствие ГОСТ», не говоря, какому ГОСТу продукт соответствует.
    • «использоваться такие средства должны только для нейтрализации актуальных угроз». Очень забавное требование. Понимать его можно двояко. Скажем, для обнаружения/ограничения проникновения и т. д., получается, можно использовать продукты, не прошедшие оценку соответствия. Это, кстати, важно: в приказе ФСТЭК России от антивируса требуется только обнаружение, но не нейтрализация.

    Так что ПП 1119 позволяет нам использовать для обнаружения угроз и предотвращения внедрения вредоносных файлов несертифицированные средства. И более того, не написано, что эти средства должны быть антивирусом. Весело.

    Ну и Приказ ФСТЭК России № 21:

    4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

    Между приказом и ПП 1119 есть существенная разница. Нет указания соответствия требованиям законодательства Российской Федерации и указания, что требования должны быть в области обеспечения безопасности информации.

    Не менее интересна и разница c Федеральным законом № 152-ФЗ. С одной стороны, подтверждается необязательность применения слов «в частности», с другой — написано, что «Меры по обеспечению безопасности <...> реализуются <...> в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных». Масло масляное. А для чего еще нужно реализовывать защиту? Для защиты от неактуальных угроз?

    И самое интересное: меры должны приниматься лишь для нейтрализации — то есть для удаления, но не, например, контроля.

    Таким образом, из вышеприведенного следует, что мы можем использовать сертифицированные средства для нейтрализации угроз, которые мы признали актуальными, и иные средства во всех остальных случаях, соответствующие любым на наш выбор в остальных случаях.

    Но какой же документ без взаимоисключающих требований? Нельзя лишать экспертов возможности шевелить мозгами!

    8.6. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.

    Минуточку! Реагированием может быть и простое уведомление, но совсем не обязательно нейтрализация. Но сертифицированные средства защиты информации должны применяться только для нейтрализации. Выходит, антивирусы не должны быть сертифицированы?

    Продолжим чтение Приказа ФСТЭК России № 21:

    12. При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:
    а) для обеспечения 1 и 2 уровней защищенности персональных данных применяются:
    средства вычислительной техники не ниже 5 класса;
    системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;
    межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

    Поскольку ниже 4-го класса антивирусы не сертифицируются, то для меньших уровней цитаты не приводим.

    Что интересно в этой цитате:

    • Первый раз встречается слово «сертифицированных». Но сертификация не равна оценке соответствия. Оценка соответствия может быть в форме испытаний, регистрации… В свою очередь, сертификация может быть добровольной, обязательной или форме декларирования соответствия. Исходя из этого пункта средства антивирусной защиты и межсетевые экраны должны подвергаться обязательной сертификации, а иные средства, необходимые для нейтрализации угроз, — нет? А ведь системное ПО, не относящееся согласно Приказу к антивирусным средствам, — тоже может немало.
    • Ключевая фраза: «при использовании»! То есть если мы не используем сертифицированные средства, то и вопросов нет.

    Ну и чтобы усугубить, еще одна цитата из Федерального закона № 152-ФЗ:

    1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой <...> и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств…

    Удовольствие от использования сертифицированных средств частниками, а также лицензирования средств шифрования, оставим для любителей шифроваться от государства.

    Подведем черту:

    1. Федеральный закон № 152-ФЗ не определяет требования ни к используемым для защиты персональных данных продуктам, ни к порядку их оценки соответствия/сертификации.
    2. Поскольку регуляторы не имеют права расширять требования закона, то (теоретически!) все такие расширения можно игнорировать.
    3. Сертификация не равна оценке соответствия.
    4. Сертифицированные средства защиты не являются обязательными.
    5. Антивирусные средства должны применяться для обнаружения угроз и реагирования на них. Средства, прошедшие оценку соответствия, должны использоваться для нейтрализации угроз.

    Удовольствие по совмещению этих требований предоставляется читателям.

    В связи с тем, что использование сертифицированных средств вызывает достаточно много вопросов, в следующей статье планируется (в том числе) ответить на такие вопросы:

    • «Соответствует ли ваш продукт требованиям 152-ФЗ?»
    • «Где можно скачать дистрибутив?»
    • «Когда можно получить сертифицированную версию?»
    • «Ваш файервол сертифицирован на соответствие профилям защиты?» — и многие другие. Если есть вопросы, не вошедшие в список, — задавайте!
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 27

      0
      Делаем вид, что впервые слышим про ПП-330?
      Там явно дается комментарий, что оценка соответствия = сертификация. Если Подрядчик является лицензиатом ФСТЭК, он не в праве предлагать другие методы оценки соответствия. Если же Заказчик желает считать оценку соответствия чем-то иным, он может написать официальное письмо Подрядчику об этом. В таком случае после снятия грифа ДСП с ПП-330 ответственность за использования несертифицированных средств защиты лежит на Заказчике и Подрядчику не грозит отзыв лицензии.
        +1
        Ни в коем. Все мои статьи написаны исключительно на открытых документах. Но ПП-330, насколько я помню до сих пор ДСП. Я-то доступ имею, но рядовые компании явно к такой информации доступа не имеют. Чтобы не повторять написанное — вот мнение Лукацкого lukatsky.blogspot.ru/2010/08/330.html

          +1
          А я уже писал статью на эту тему.

          Все сводится к тому что подрядчиков нужно гнать ссаными тряпками со своими сертифицированными устройствами.
          И делать максимум самому. Это спасает от покупки перепакованного Debian с установленным крипто-про и наличием сертификата за аморальную цену.
            0
            Тема ПП 330 навязла в зубах уже. Скажем в lukatsky.blogspot.ru/2010/07/330.html Лукацкий утверждает, что оно только для госорганов. Есть интересное письмо ФСТЭК fstec.ru/component/attachments/download/350, но вспоминаем, что никто требования закона расширять не может… В общем дело грустное и печальное (http://anvolkov.blogspot.ru/2012/05/blog-post_21.html#.VTTfAMX-aCg)
              0
              Да все прозрачно вполне. ФСТЭК не противоречит закону. Сертификация является оценкой соответсвия. Все правильно. Но не только она.

              Пока ПП 330 официально не зарегистрировано в минюсте — оно не имеет юридической силы для коммерческих контор.

              Вроде непробиваемая стена аргументов, а эту тему все жуют, жуют… Тфу!
                +1
                Основная проблема нашего законодательства — куча кусочков, не складывающихся в единую и непротиворечивую систему. Постоянно присутствуют то неисполнимые требования, то вызывающие двойное толкование.
                А больше всего добивает хор хвалебных голосов…
                  0
                  Вот последнее и является ключевым фактором. Когда начинаешь разбираться, хватает буквально пары вечеров. И все при желании раскладывается по полочкам. Иногда это несколько вечеров. А хор голосов нужно игнорировать, это лишний элемент при детальном анализе. Зато не скучно =)
                    +2
                    +100500 :-)
                    Чтение любой нормативки должно быть обязанностью любого айтишника. Ибо к сожалению многие комментирующие привязывают свои комментарии к продуктам фирм, в которых они работают, или руководствуются своими взглядами. Например на необходимость полной свободы в сети. Поэтому «доверять можно только отдельным людям и по отдельным вопросам» (не мое)
        • UFO just landed and posted this here
            0
            И где вы такие грамотеи беретесь…

            1.5. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами.

            В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.
              0
              Ничуть не возражаю. Но не вижу где я утверждал, что не нужно сертифицировать продукты. Статья о двух вещах:
              1. В разных документах прописаны разные требования
              2. В соответствии с действующими документами использование сертифицированных продуктов не является безусловно обусловленным.
              Сама по себе сертификация (как идея) штука нужная, но скажем для антивирусов смысла не имеет. В силу их особенностей обновления. А посему если можно не использовать сертифицированную версию — лучше не использовать
                0
                Нет, я всегда буду настаивать на том что сертификация в сфере безопасности — абсолютное зло. Почему? Потому что сертификация обновлений никогда не будет успевать за эксплуататорами дыр. А в последнее время разрыв между публикацией и началом чеса сокращается. Как ни старайся, быстрее двух недель не сертифицировать. Это я уже проходил и не раз. Так что лесом!
                Единственное где это пока может хоть как-то работать — ГОСТ шифрование. Исключительно потому что это самый распространенный продукт (крипто-про) и потому что ФСБ сильнее зажало гайки. А так я бы пользовался патченным OpenSSL.
                  0
                  сертификация может быть полезна для использования в замкнутых сетях (госорганы, критичные структуры и тд) зарубежных продуктов — особенно там, где есть проблема с доставкой обновлений.
                  Мы не можем отказаться от продуктов того же Микрософт, но проверить их на закладки — дело правильное
                    0
                    Каким образом и как сертификация закрытого блоба частной конторой может быть полезна в госсетях? Сертификация закытых продуктов не подразумевает полной проверки на отсутствие НДВ. Вы говорите какую-то оторванную от реальности… ээм… «информацию».
                      0
                      В реальности — да. К сожалению. Именно поэтому я выше написал, что сама идея сертификации на НДВ — привлекательна. Но зная как в реальности проходит сертификация… У меня иногда возникает подозрение, что сертифицируемые продукты не запускаются в ходе сертификации даже для проформы.
                      Проблема и сертификации и ИБ в целом на уровне государства — отсутствие специалистов и неумение отстроить процедуры. Все это заменяет выпуск документов. Которые в силу того же отсутствия специалистов получаются корявыми. А исправлять их — низзя. Можно только вносить мелкие правки, не меняющие суть :-(
                      Типичный пример — высокохвалимые профиля. В реальности с выходом профилей и переходом на сертификацию по ним проблем заказчиков еще возрасло — а качество защит — нет.
                      По сути у нас единственный более-менее нормальный пакет документов — это СТО БР РФ. И до той поры, пока в России/Украине/Белоруссии не появится влиятельная организация, которая сможет развивать стандарты — ничего не поменяется. В том же ФСТЕКе все понимают, но ничего поменять не могут
                    0
                    Я помню вашу статью :)
                    habrahabr.ru/post/200894

                    Шаблоны документов у вас получились? Интересен ваш опыт бумажного щита для СПО.
                0
                Вот еще тема для размышления в свете 21 приказа ФСБ. Сейчас все крупные конторы географически разнесены. Многие обрабатывают перс данные в виде базы в головном офисе. Все используют vpn.
                А все ли используют сертифицированные скзи с гостом для построения шифрованных каналов?:)
                  0
                  точнее 378 приказ)
                  0
                  Статья 13.12. Нарушение правил защиты информации
                  2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), — влечет наложение административного штрафа на юридических лиц до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации.

                  Я надеюсь, вы готовы нести ответственность за свои «антимифы» и компенсируете убыток тем организациям, которые вам поверят, в случае чего.
                    0
                    Как я понимаю, ключевая фраза здесь «если они подлежат обязательной сертификации».
                      0
                      Моя статья — не в коей мере не задумывалась, как не подлежащий пересмотру Коран или иной религиозный текст. Она возникла исключительно в силу огромного числа запросов от людей, совершенно не знающих чего они хотят или уже прошедших обработку словами «специалистов»
                      Проблема в том, что если в компанию уже было отрекламировано какое-либо знание, то выкорчевыванию оно практически не поддается. К нам приходит огромное количество запросов на сертифицированные продукты, но совершенный мизер звонящих и пишущих готов обсуждать варианты снижения стоимости решений. Фактически единственный раз, когда это пришлось делать — защита персданных морга. Без смеха, получил огромное удовольствие от общения со специалистом
                      Я готов с удовольствием дополнить и отредактировать свою статью в случае предоставления вами либо кем-то иным полной цепочки — начиная от требований закона и до реальных действий регуляторов на местах. К сожалению вырванные из контекста фразы можно толковать как угодно — как показал первый же ответ на ваш комментарий
                      Если в статье появятся для баланса иные варианты, которые компании смогут обратить себе не пользу — я думаю это будет полезно всем

                      Приношу извинения, ответ дан на предыдущий комментарий
                        0
                        Теперь цель поста мне стала понятней. Вы — сотрудник компании, которая продает решения по защите персональных данных, и эти решения вы не можете/не хотите сертифицировать во ФСТЭК.

                        Продавая свое несертифицированное решение организациям (хотя бы даже и моргу), вы подставляете их под статью 13.12 КоАП, ибо органы надзора навряд ли примут во внимание «сомнительный статус ПП330». Для них статус ПП330 вполне конкретный, и ситуация с сертифицированными СЗИ ясна, как божий день.

                        На закуску, выдержка из рекомендаций региональных органов ФСТЭК. Название документа указывать не будут, ибо пропадет вся интрига и мы не дождемся 6 Мифа «Регуляторы при проверках прислушиваются к мнению блогеров с Хабра».
                          0
                          Ну это вы загнули. Да я сотрудник компании, но у нашей компании сертифицирована вся линейка продуктов по ФСТЭК, ФСБ, МО, 1С и тд. Не нужно конспирологии. Я четко описал цель статьи — специалисты принимающие решения при их принятии должны понимать, что они делают. И не более. В данной статье рекламы нет. Совсем

                          А проверяющие должны не прислушиваться к мнению с Хабра, а читать документы, составленные компанией — не забываем, что большинство проверок — документарные. По сути статья направлена на то, что бы эти документы не переписывались с некого источника, а составлялись с пониманием
                            0
                            Если я правильно опознал источник, то это lib2.podelise.ru/docs/34163/index-11396.html.
                            Методические рекомендации разработаны на основании:
                            Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
                            Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781;
                            Порядка проведения классификации информационных систем персональных данных, утвержденного приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20;

                            Все это уже отменено. Если я не прав — просьба указать источник

                        0
                        полная цитата:
                        Кодекс Российской Федерации об административных правонарушениях
                        Раздел II. ОСОБЕННАЯ ЧАСТЬ
                        Глава 13. АДМИНИСТРАТИВНЫЕ ПРАВОНАРУШЕНИЯ В ОБЛАСТИ СВЯЗИ И ИНФОРМАЦИИ
                        Статья 13.12. Нарушение правил защиты информации
                        2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), — влечет…
                        4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, — влечет…

                        Итого:
                        — за использование несертифицированных баз и банков данных (если они подлежат обязательной сертификации) — штраф. Кто либо с таким сталкивался?
                        — «если они подлежат обязательной сертификации» — как я показал выше такое требование отсутствует (ПП-330 в силу его сомнительного статуса не рассматриваем)
                        — а вот пункт 4 используется в полный рост — оговорок нет и для защиты гостайны все покупают сертифицированные средства
                          0
                          Согласно ПП 982, в едином перечне продукции подлежащей обязательной сертификации отсутствуют СрЗИ.
                        0
                        Что-то мне подсказывает, что вслед за статьей «Требуют ли акты по 152-ФЗ обязательного использования сертифицированных продуктов», нужно делать подборку актов, где такие требования точно есть. За ссылку на ПП 982 спасибо, в моей коллекции его нет. Посмотрю

                        Как я говорил выше — наше правовое поле не представляет собой единого и непротиворечивого пространства. В данной статье я рассмотрел только требования по защите ПДн — и то без приказов ФСБ. А скажем ситуация по защите банков (СТО БР РФ), компаний, защищающих критичную инфраструктуру, предприятий хранящих гостайну — совсем иная. Скажем в СТР-К требования иные:
                        Для управления, контроля защищенности ЛВС и управления системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты
                        Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия

                        Поэтому для каждого типа защищаемой информации нужно рассматривать свою последовательность требований. Увы

                        Only users with full accounts can post comments. Log in, please.