Комментарии 26
«За все время существования закона о ПДн не выпущено ни одного техничекого регламента.»
А ЭТО тогда что?
www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/rukovodyaschii-dokument-sredstva-vychislitelnoi-tehniki-zaschita-ot-nesankcionirovannogo-dostupa-k-informacii-pokazateli-zaschischennosti-ot-nesankcionirovannogo-dostupa-k-informacii
www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/rukovodyaschii-dokument-sredstva-vychislitelnoi-tehniki-mezhsetevye-ekrany-zaschita-ot-nesankcionirovannogo-dostupa-pokazateli-zaschischennosti-ot-nesankcionirovannogo-dostupa-k-informacii
www.securitylab.ru/blog/personal/Business_without_danger/21084.php
Вы хоть изучите немного вопрос, прежде чем писать.
Берем РД и прямо по нему проверяем соответствие.
А ЭТО тогда что?
www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/rukovodyaschii-dokument-sredstva-vychislitelnoi-tehniki-zaschita-ot-nesankcionirovannogo-dostupa-k-informacii-pokazateli-zaschischennosti-ot-nesankcionirovannogo-dostupa-k-informacii
www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/rukovodyaschii-dokument-sredstva-vychislitelnoi-tehniki-mezhsetevye-ekrany-zaschita-ot-nesankcionirovannogo-dostupa-pokazateli-zaschischennosti-ot-nesankcionirovannogo-dostupa-k-informacii
www.securitylab.ru/blog/personal/Business_without_danger/21084.php
Вы хоть изучите немного вопрос, прежде чем писать.
Берем РД и прямо по нему проверяем соответствие.
0
Эти документы я довольно хорошо знаю. Но сильно сомневаюсь, что они являются Техническими регламентами. Всё таки это Руководящие документы.
Если юридически они являются, то я только за всеми ногами. Авось в споре родится истина.
Если юридически они являются, то я только за всеми ногами. Авось в споре родится истина.
0
Тогда прошу ответить на вопрос.
По каким регламентам в нашей стране происходит сертификация?
По каким регламентам в нашей стране происходит сертификация?
0
А ни по каким, клепается методика для каждого продукта в серт. лаборатории и отправляется на согласование в сертифицирующий орган, который (как повезет) либо согласует, либо нет. А у нас в России всё так: у тебя есть бумажка, что ты можешь что-то делать, тогда можно делать через одно место, а вот если нет бумажки, то и по закону не всегда поможет.
0
А я, вот, знаю что вся сертификация СЗИ у нас делается по РД.
Если отсутствует РД — делается по ТУ.
Если отсутствует РД — делается по ТУ.
0
Что значит делается по РД? На соответствие требованиям РД? Никто и не спорит.
Я вообще не понимаю чего вы добиваетесь. Оттачиваете «мастер-класс российских политиков»? Или что?
Я прямо сижу и уговариваю не делать декларирование соответствия. Оно мне надо? Делайте. Где рецепт этого вселенского счастья? Напишите пошаговый howto. Думаю все обрадуются.
Я вообще не понимаю чего вы добиваетесь. Оттачиваете «мастер-класс российских политиков»? Или что?
Я прямо сижу и уговариваю не делать декларирование соответствия. Оно мне надо? Делайте. Где рецепт этого вселенского счастья? Напишите пошаговый howto. Думаю все обрадуются.
0
Цитирую Волкова
anvolkov.blogspot.ru/2011/08/1.html
О техрегламенте говорит все тот же 184-ФЗ:
Ст. 7 п. 3: Технический регламент должен содержать перечень и (или) описание объектов технического регулирования, требования к этим объектам и правила их идентификации в целях применения технического регламента. Технический регламент должен содержать правила и формы оценки соответствия…
Вот только техрегламентов для средств защиты информации до сих пор не придумано, а значит:
Ст. 46 п. 2: До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами.
Ст. 5 п. 1: В отношении … продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации…
anvolkov.blogspot.ru/2011/08/1.html
0
Согласен.
Смущает только пункт:
Смущает только пункт:
4. До вступления в силу соответствующих технических регламентов схема декларирования соответствия на основе собственных доказательств допускается для применения только изготовителями или только лицами, выполняющими функции иностранного изготовителя.
0
Статья 46. Переходные положения
подлежат обязательному исполнению только в части, соответствующей целям:
защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества;
охраны окружающей среды, жизни или здоровья животных и растений;
предупреждения действий, вводящих в заблуждение приобретателей.
0
В своей статье вы продемонстрировали полнейшую некомпетентность в вопросе.
Конечно, мы не можем просто написать «соответствует». Придется самим делать проверки и писать документы.
В соответсвии с РД. И искользовать сертифицированные криптосредства, потому что так проще декларировать соответствие КС1 и КС2.
Конечно, мы не можем просто написать «соответствует». Придется самим делать проверки и писать документы.
В соответсвии с РД. И искользовать сертифицированные криптосредства, потому что так проще декларировать соответствие КС1 и КС2.
0
Ну если стоит задача поспорить, то возможно. Если окажусь не прав, буду, скорее даже рад.
0
Вы написали разгромную статью и указали на отсутствие технических регламентов.
Вам указали на то что это заблуждение и привели ссылки на соответствующие регламенты.
Вы варажаете сомнения в том что руководящие документы обязательны к исполнению? Или вы считаете что РД например по МЭ или СВТ — это не технические регламенты?
Вам указали на то что это заблуждение и привели ссылки на соответствующие регламенты.
Вы варажаете сомнения в том что руководящие документы обязательны к исполнению? Или вы считаете что РД например по МЭ или СВТ — это не технические регламенты?
0
Задача — грамотно и красиво выполнить требования закона. С минимальными затратами.
Спорить есть смысл по конкретным вопросам По теме, конечно же. Я вам их задал. Жду ответов.
Спорить есть смысл по конкретным вопросам По теме, конечно же. Я вам их задал. Жду ответов.
0
Я не увидел ссылок на регламенты. И не вижу ничего разгромного в посте.
Не путайте холодное с мокрым. Руководящие документы не подходят под определение технических регламентов, и при чем тут собственно их обязательность, если мы выясняем, есть ли вообще тех. регламенты:
а) тех. регламент — документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации. У нас Председатель ГТК (или как приемник ФСТЭК) стал Президентом РФ? Или ФСТЭК стал Правительством?
б) тех. регламент помимо требований в том числе должен «содержать правила и формы оценки соответствия», это процессный документ. Указанные вами документы — "что требуется получить", технические регламенты должны описывать "как".
в) например у нас в РФ есть «Технический регламент на табачную продукцию» или «ФЗ „О безопасности зданий и сооружений“, где тех. регламент на СЗИ?
Я привел аргументы, докажите обратное.
Не путайте холодное с мокрым. Руководящие документы не подходят под определение технических регламентов, и при чем тут собственно их обязательность, если мы выясняем, есть ли вообще тех. регламенты:
а) тех. регламент — документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации. У нас Председатель ГТК (или как приемник ФСТЭК) стал Президентом РФ? Или ФСТЭК стал Правительством?
б) тех. регламент помимо требований в том числе должен «содержать правила и формы оценки соответствия», это процессный документ. Указанные вами документы — "что требуется получить", технические регламенты должны описывать "как".
в) например у нас в РФ есть «Технический регламент на табачную продукцию» или «ФЗ „О безопасности зданий и сооружений“, где тех. регламент на СЗИ?
Я привел аргументы, докажите обратное.
0
Сделайте обещанный пост с формами документов и обоснованиями.
0
Это вы про мою статью?)
0
Да, про оценку соответствия, с упором на РД и тд с шаблонами документов.
habrahabr.ru/post/200894/
Можно даже в некоем сыром виде, в личку, если не затруднит.
Может это все и филькина грамота, но есть правило, чем больше документов, тем больше «внушаит». Поэтому интересен опыт.
habrahabr.ru/post/200894/
Можно даже в некоем сыром виде, в личку, если не затруднит.
Может это все и филькина грамота, но есть правило, чем больше документов, тем больше «внушаит». Поэтому интересен опыт.
0
Нет задачи написать как можно больше бумаги и пустить пыль в глаза.
Есть задача четко обосновать те или иные методы защиты, по возможности минуя процедуру сертификации.
Ограничивается это стремление только здравым смыслом.
Мы тут с товарищем дошли и до того что даже по РД не совсем корректно будет проверять.
У нас осталось только 1119 ПП. Пока единственные понятный и легитимный документ, описывающий что делать.
Все остальное даже за уши притянуть не получилось.
Я выделю время и напишу запланированную статью с примерными шаблонами документов.
Есть задача четко обосновать те или иные методы защиты, по возможности минуя процедуру сертификации.
Ограничивается это стремление только здравым смыслом.
Мы тут с товарищем дошли и до того что даже по РД не совсем корректно будет проверять.
У нас осталось только 1119 ПП. Пока единственные понятный и легитимный документ, описывающий что делать.
Все остальное даже за уши притянуть не получилось.
Я выделю время и напишу запланированную статью с примерными шаблонами документов.
0
В начале поста была ошибка. Я, ссылаясь по названию на свою предыдущую статью, вставил ссылку на пост Klukonin Защита информации и сертификация. Если нет разницы — зачем платить больше?.
Извиняюсь, затупил.
Извиняюсь, затупил.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Почему оценка соответсвия средств защиты информации и есть сертификация