подлежат обязательному исполнению только в части, соответствующей целям:
защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества;
охраны окружающей среды, жизни или здоровья животных и растений;
предупреждения действий, вводящих в заблуждение приобретателей.
Ст. 7 п. 3: Технический регламент должен содержать перечень и (или) описание объектов технического регулирования, требования к этим объектам и правила их идентификации в целях применения технического регламента. Технический регламент должен содержать правила и формы оценки соответствия…
Вот только техрегламентов для средств защиты информации до сих пор не придумано, а значит:
Ст. 46 п. 2: До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами.
Ст. 5 п. 1: В отношении … продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации…
Этот фокус нам знаком, только он не совсем законный.
Фактически, это мошенничество. Декларируем прямо противоположное тому что на самом деле.
Если это вскроется — могут и штраф влепить, и посадить.
Вы написали разгромную статью и указали на отсутствие технических регламентов.
Вам указали на то что это заблуждение и привели ссылки на соответствующие регламенты.
Вы варажаете сомнения в том что руководящие документы обязательны к исполнению? Или вы считаете что РД например по МЭ или СВТ — это не технические регламенты?
В своей статье вы продемонстрировали полнейшую некомпетентность в вопросе.
Конечно, мы не можем просто написать «соответствует». Придется самим делать проверки и писать документы.
В соответсвии с РД. И искользовать сертифицированные криптосредства, потому что так проще декларировать соответствие КС1 и КС2.
Если региональные отделения не в курсе федеральных законов и постановлений (Это из личной практики).
Я вообще не представляю зачем с ними общаться, кроме как по части разработки каких-то законов и актов.
Нужно смотреть в закон и думать как можно его красиво выполнить с минимальными затратами.
Как только регулятор появляется на пороге — тыкать в закон, затем на то что было сделано и предупредить о том что готовы отстаивать свою позицию в суде. Читал про то что после этого КРН без всяких претензий завершали проверку и уходили.
Вы знаете, совершенно не убедили.
Ни одной нормальной ссылки на закон с текстом, где четко (пусть и ковсенно) нас приводят к тому что единственным вариантом собдюдения закона является сертификация.
Фактически, вы продолжаете рассказывать сказку про злых регуляторов, которые как-то иначе трактуют закон и живут по своим понятиям, требующим сертификацию. Мы тут, вроде, взрослые люди собрались, задачи серьезные решаем.
На сегодняшний день, от сертификации как метода оценки соответствия легко можно уйти в модели угроз.
И использовать акт приемки и ввода в эксплуатацию. О чем я написал с указанием на законы и выдержками.
Вопрос остается только с использовании отечественной криптографии
В комментариях к моей статье я четко указал что для КС1 и КС2 контроль встраивания от ФСБ не требуется!
Если простыми словами — единственное что нужно купить сертифицированного — это криптопровайдер.
Крипто-про или Маг-про, Лисси-крипто, их сейчас развелось достаточно много.
Механизм защиты сертифицировать требуется только если это личное желание.
Я понимаю что данная статья — ваше мнение, но судя по тому что написано — оно основывается не на законах РФ.
anvolkov.blogspot.ru/2011/08/1.html
Если отсутствует РД — делается по ТУ.
Фактически, это мошенничество. Декларируем прямо противоположное тому что на самом деле.
Если это вскроется — могут и штраф влепить, и посадить.
Спорить есть смысл по конкретным вопросам По теме, конечно же. Я вам их задал. Жду ответов.
Вам указали на то что это заблуждение и привели ссылки на соответствующие регламенты.
Вы варажаете сомнения в том что руководящие документы обязательны к исполнению? Или вы считаете что РД например по МЭ или СВТ — это не технические регламенты?
По каким регламентам в нашей стране происходит сертификация?
Конечно, мы не можем просто написать «соответствует». Придется самим делать проверки и писать документы.
В соответсвии с РД. И искользовать сертифицированные криптосредства, потому что так проще декларировать соответствие КС1 и КС2.
А ЭТО тогда что?
www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/rukovodyaschii-dokument-sredstva-vychislitelnoi-tehniki-zaschita-ot-nesankcionirovannogo-dostupa-k-informacii-pokazateli-zaschischennosti-ot-nesankcionirovannogo-dostupa-k-informacii
www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/rukovodyaschii-dokument-sredstva-vychislitelnoi-tehniki-mezhsetevye-ekrany-zaschita-ot-nesankcionirovannogo-dostupa-pokazateli-zaschischennosti-ot-nesankcionirovannogo-dostupa-k-informacii
www.securitylab.ru/blog/personal/Business_without_danger/21084.php
Вы хоть изучите немного вопрос, прежде чем писать.
Берем РД и прямо по нему проверяем соответствие.
По поводу РКН — Никак)))
Мда… =)
Если захотят нагнуть — никакие сертификаты не помогут.
Я и писал об этом. Если нет разницы — зачем платить больше? =)
habrahabr.ru/post/169527/
Или вы там пишете про другой РКН.
Или мы не о тех технических мерах говорим.
Если региональные отделения не в курсе федеральных законов и постановлений (Это из личной практики).
Я вообще не представляю зачем с ними общаться, кроме как по части разработки каких-то законов и актов.
Нужно смотреть в закон и думать как можно его красиво выполнить с минимальными затратами.
Как только регулятор появляется на пороге — тыкать в закон, затем на то что было сделано и предупредить о том что готовы отстаивать свою позицию в суде. Читал про то что после этого КРН без всяких претензий завершали проверку и уходили.
Демагогия, конечно, штука хорошая, но мы тут законы соблюдаем, вроде как.
Вы знаете, совершенно не убедили.
Ни одной нормальной ссылки на закон с текстом, где четко (пусть и ковсенно) нас приводят к тому что единственным вариантом собдюдения закона является сертификация.
Фактически, вы продолжаете рассказывать сказку про злых регуляторов, которые как-то иначе трактуют закон и живут по своим понятиям, требующим сертификацию. Мы тут, вроде, взрослые люди собрались, задачи серьезные решаем.
На сегодняшний день, от сертификации как метода оценки соответствия легко можно уйти в модели угроз.
И использовать акт приемки и ввода в эксплуатацию. О чем я написал с указанием на законы и выдержками.
Вопрос остается только с использовании отечественной криптографии
В комментариях к моей статье я четко указал что для КС1 и КС2 контроль встраивания от ФСБ не требуется!
Если простыми словами — единственное что нужно купить сертифицированного — это криптопровайдер.
Крипто-про или Маг-про, Лисси-крипто, их сейчас развелось достаточно много.
Механизм защиты сертифицировать требуется только если это личное желание.
Я понимаю что данная статья — ваше мнение, но судя по тому что написано — оно основывается не на законах РФ.