Почему оценка соответсвия средств защиты информации и есть сертификация

    В предыдущем посте Сертификация средств защиты и персональные данные не хватало конкретики в вопросе сертификации как таковой.
    В этот раз изложу не свое виденье вопроса, а выдержки из законов ведущие к тезису, что Сертификация — есть единственная форма оценки соответствия средств защиты требованиям по защите информации.
    Статья получилась немного сумбурная, но, надеюсь, понятная.


    Откуда растут ноги?


    Будем рассматривать требования к средствам защиты в соответствии с последними нормативными документами: Приказ ФСТЭК №21, Постановление Правительства №1119, — именно они устанавливают требование о необходимости оценки соответствия.
    Пункт 4 Приказа №21
    4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

    Пункт 13 Постановления №1119
    Для обеспечения… уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:…
    г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

    Таким образом при нейтрализации угроз с помощью средств защиты необходимо использовать СЗИ, прошедшие оценку соответствия.
    Для многих встает вопрос на этом пункте, так как в прямых документах по защите информации не дается внятного определения оценки соответствия.

    Что есть «оценка соответствия»?


    Для того, чтоб понять, что же это, следует обратиться к последней редакции Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» с поправками от 01.09.2013 г. (далее ФЗ №184)
    Во-первых, определимся с понятиями:
    декларирование соответствия — форма подтверждения соответствия продукции требованиям технических регламентов;
    декларация о соответствии — документ, удостоверяющий соответствие выпускаемой в обращение продукции требованиям технических регламентов;
    оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
    подтверждение соответствия — документальное удостоверение соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров;
    технический регламент — документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации);
    форма подтверждения соответствия — определенный порядок документального удостоверения соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.

    Следуя статье 20 ФЗ №184:
    Формы подтверждения соответствия
    1. Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
    2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
    3. Обязательное подтверждение соответствия осуществляется в формах:
    — принятия декларации о соответствии (далее — декларирование соответствия);
    — обязательной сертификации.
    ,- выясняем, что существует добровольная сертификация и обязательное подтверждение соответствия.
    В свою очередь обязательное может проходить в двух формах: декларирование соответствия и обязательная сертификация.
    По сути мы получаем 3 способа подтверждения соответствия:
    — добровольная сертификация
    — обязательная сертификация
    — декларирование соответствия
    Обязательную сертификацию рассматривать не будем: по данной теме она для нас интереса не представляет. Рассмотрим оставшиеся.

    Добровольная сертификация


    На данной форме не буду сильно акцентироваться, так как на данный момент толком не существует органов по сертификации (могу ошибаться). Единственная, которая приходит на ум — Газпромсерт, и та больше для использования продуктов внутри компании.
    В соответствии с 21 статьей:
    Статья 21. Добровольное подтверждение соответствия
    1. Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, предварительным национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров.…
    2. Система добровольной сертификации может быть создана юридическим лицом и (или) индивидуальным предпринимателем или несколькими юридическими лицами и (или) индивидуальными предпринимателями.
    ,- видно, что она больше используется для соответствия корпоративным стандартам.
    Одно время было движение по созданию системы добровольной сертификации в разрезе защиты ПДн, но похоже толком дело не пошло.
    Да и разница в трате времени и ресурсов по сравнению с обязательной сертификацией выходит незначительная (если вообще выходит).

    Декларирование соответствия


    Наиболее привлекательным может показаться следующий пункт закона:
    Статья 24. Декларирование соответствия
    1. Декларирование соответствия осуществляется по одной из следующих схем:
    — принятие декларации о соответствии на основании собственных доказательств;
    — принятие декларации о соответствии на основании собственных доказательств, доказательств, полученных с участием органа по сертификации и (или) аккредитованной испытательной лаборатории (центра) (далее — третья сторона).

    и особенно греющие душу строки той же статьи:
    2. При декларировании соответствия на основании собственных доказательств заявитель самостоятельно формирует доказательственные материалы в целях подтверждения соответствия продукции требованиям технических регламентов. В качестве доказательственных материалов используются техническая документация, результаты собственных исследований (испытаний) и измерений и (или) другие документы, послужившие мотивированным основанием для подтверждения соответствия продукции требованиям технических регламентов. Состав доказательственных материалов определяется соответствующим техническим регламентом.

    Особенно с учетом пункта 3 статьи 23:
    3. Декларация о соответствии и сертификат соответствия имеют равную юридическую силу независимо от схем обязательного подтверждения соответствия и действуют на всей территории Российской Федерации.

    Но обратим внимание на последнее предложение пункта 2 статьи 24: «Состав доказательственных материалов определяется соответствующим техническим регламентом.», а также пункт 5 главы 24:
    Состав доказательственных материалов определяется соответствующим техническим регламентом.

    Также (и в первую очередь) стоит учесть пункт 1 статьи 23:
    1. Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента.

    Суммирую все перечисленное, получается следующее: Закон ни в коем разе не ограничивает наше право в декларировании соответствия средств защиты информации требованиям по защите информации (в соответствии с пунктом 1 статьи 28 «Заявитель вправе… выбирать форму и схему подтверждения соответствия, предусмотренные для определенных видов продукции соответствующим техническим регламентом; „), но данная процедура должна проходить в соответствии с техническим регламентом (в соответствии с пунктом 2 статьи 28 “Заявитель обязан… обеспечивать соответствие продукции требованиям технических регламентов»).
    Но что такое технический регламент? В соответствии с определением, описанным выше — это нормативный документ, изданный на уровне Правительства и определяющий требования к продукции.

    Так почему же «сертификация» = «оценка соответствия»?


    Отмечу, что данное утверждение верно отчасти… лучше сделать приписку: в настоящее время.
    Выше мы выяснили, что декларирование соответствия должно осуществляться в соответствии с техническими регламентами, которые, в нашем случае, должны разработать сотрудники ФСТЭК. Но… «воз и ныне там».
    За все время существования закона о ПДн не выпущено ни одного техничекого регламента. Единственное, что на данный момент существует — это профили защиты, но они предназначены для разработчиков средств защиты (и содраны, кстати, кажется с NIST). Ознакомиться можно с ними здесь: Пакет проектов профилей защиты.

    С ФЗ 184 «О техническом регулировании» можно ознакомиться на официальном сайте ФСТЭК России:
    Федеральный закон от 27 декабря 2002 г. N 184-ФЗ
    Если появился интерес по профилям защиты, то нормативные документы можно посмотреть здесь.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 26

      0
        0
        Эти документы я довольно хорошо знаю. Но сильно сомневаюсь, что они являются Техническими регламентами. Всё таки это Руководящие документы.
        Если юридически они являются, то я только за всеми ногами. Авось в споре родится истина.
          0
          Тогда прошу ответить на вопрос.
          По каким регламентам в нашей стране происходит сертификация?
            0
            А ни по каким, клепается методика для каждого продукта в серт. лаборатории и отправляется на согласование в сертифицирующий орган, который (как повезет) либо согласует, либо нет. А у нас в России всё так: у тебя есть бумажка, что ты можешь что-то делать, тогда можно делать через одно место, а вот если нет бумажки, то и по закону не всегда поможет.
              0
              А я, вот, знаю что вся сертификация СЗИ у нас делается по РД.
              Если отсутствует РД — делается по ТУ.
                0
                Что значит делается по РД? На соответствие требованиям РД? Никто и не спорит.
                Я вообще не понимаю чего вы добиваетесь. Оттачиваете «мастер-класс российских политиков»? Или что?
                Я прямо сижу и уговариваю не делать декларирование соответствия. Оно мне надо? Делайте. Где рецепт этого вселенского счастья? Напишите пошаговый howto. Думаю все обрадуются.
                0
                Цитирую Волкова
                О техрегламенте говорит все тот же 184-ФЗ:

                Ст. 7 п. 3: Технический регламент должен содержать перечень и (или) описание объектов технического регулирования, требования к этим объектам и правила их идентификации в целях применения технического регламента. Технический регламент должен содержать правила и формы оценки соответствия…

                Вот только техрегламентов для средств защиты информации до сих пор не придумано, а значит:

                Ст. 46 п. 2: До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами.
                Ст. 5 п. 1: В отношении … продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации…


                anvolkov.blogspot.ru/2011/08/1.html
                  0
                  Согласен.
                  Смущает только пункт:
                  4. До вступления в силу соответствующих технических регламентов схема декларирования соответствия на основе собственных доказательств допускается для применения только изготовителями или только лицами, выполняющими функции иностранного изготовителя.
                    0
                    Статья 46. Переходные положения

                    подлежат обязательному исполнению только в части, соответствующей целям:
                    защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества;
                    охраны окружающей среды, жизни или здоровья животных и растений;
                    предупреждения действий, вводящих в заблуждение приобретателей.
                      0
                      Не совсем понятно как это нивелирует 4 пункт, тогда не будет действовать и 2 пункт, утверждающий, что заместо регламентов можно руководствоваться нормативными актами фед. служб
                        0
                        Да, получается что так =)
                          0
                          Думаю, надо это всё как-то резюмировать
                            0
                            Ага =)
                            И с шаблонами документов =)
          0
          В своей статье вы продемонстрировали полнейшую некомпетентность в вопросе.

          Конечно, мы не можем просто написать «соответствует». Придется самим делать проверки и писать документы.
          В соответсвии с РД. И искользовать сертифицированные криптосредства, потому что так проще декларировать соответствие КС1 и КС2.
            0
            Ну если стоит задача поспорить, то возможно. Если окажусь не прав, буду, скорее даже рад.
              0
              Вы написали разгромную статью и указали на отсутствие технических регламентов.
              Вам указали на то что это заблуждение и привели ссылки на соответствующие регламенты.

              Вы варажаете сомнения в том что руководящие документы обязательны к исполнению? Или вы считаете что РД например по МЭ или СВТ — это не технические регламенты?
                0
                Задача — грамотно и красиво выполнить требования закона. С минимальными затратами.

                Спорить есть смысл по конкретным вопросам По теме, конечно же. Я вам их задал. Жду ответов.
                  0
                  Я не увидел ссылок на регламенты. И не вижу ничего разгромного в посте.
                  Не путайте холодное с мокрым. Руководящие документы не подходят под определение технических регламентов, и при чем тут собственно их обязательность, если мы выясняем, есть ли вообще тех. регламенты:
                  а) тех. регламент — документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации. У нас Председатель ГТК (или как приемник ФСТЭК) стал Президентом РФ? Или ФСТЭК стал Правительством?
                  б) тех. регламент помимо требований в том числе должен «содержать правила и формы оценки соответствия», это процессный документ. Указанные вами документы — "что требуется получить", технические регламенты должны описывать "как".
                  в) например у нас в РФ есть «Технический регламент на табачную продукцию» или «ФЗ „О безопасности зданий и сооружений“, где тех. регламент на СЗИ?
                  Я привел аргументы, докажите обратное.
                    0
                    Ответил выше.
                0
                Сделайте обещанный пост с формами документов и обоснованиями.
                  0
                  Это вы про мою статью?)
                    0
                    Да, про оценку соответствия, с упором на РД и тд с шаблонами документов.
                    habrahabr.ru/post/200894/
                    Можно даже в некоем сыром виде, в личку, если не затруднит.
                    Может это все и филькина грамота, но есть правило, чем больше документов, тем больше «внушаит». Поэтому интересен опыт.
                      0
                      Нет задачи написать как можно больше бумаги и пустить пыль в глаза.

                      Есть задача четко обосновать те или иные методы защиты, по возможности минуя процедуру сертификации.
                      Ограничивается это стремление только здравым смыслом.

                      Мы тут с товарищем дошли и до того что даже по РД не совсем корректно будет проверять.
                      У нас осталось только 1119 ПП. Пока единственные понятный и легитимный документ, описывающий что делать.
                      Все остальное даже за уши притянуть не получилось.

                      Я выделю время и напишу запланированную статью с примерными шаблонами документов.
                        0
                        Все что надо, давно защищается с помощью best practices и софта в том числе из мира open source.
                        А это именно пыль в глаза.
                          0
                          Просто я рассматриваю проверку регулятора как еще одну угрозу.

                          А платить за Open Source с бумажкой over 9000+ денег не вижу смысла.
                0
                В начале поста была ошибка. Я, ссылаясь по названию на свою предыдущую статью, вставил ссылку на пост Klukonin Защита информации и сертификация. Если нет разницы — зачем платить больше?.
                Извиняюсь, затупил.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое