В предыдущем посте Сертификация средств защиты и персональные данные не хватало конкретики в вопросе сертификации как таковой.
В этот раз изложу не свое виденье вопроса, а выдержки из законов ведущие к тезису, что Сертификация — есть единственная форма оценки соответствия средств защиты требованиям по защите информации.
Статья получилась немного сумбурная, но, надеюсь, понятная.
Будем рассматривать требования к средствам защиты в соответствии с последними нормативными документами: Приказ ФСТЭК №21, Постановление Правительства №1119, — именно они устанавливают требование о необходимости оценки соответствия.
Пункт 4 Приказа №21
Пункт 13 Постановления №1119
Таким образом при нейтрализации угроз с помощью средств защиты необходимо использовать СЗИ, прошедшие оценку соответствия.
Для многих встает вопрос на этом пункте, так как в прямых документах по защите информации не дается внятного определения оценки соответствия.
Для того, чтоб понять, что же это, следует обратиться к последней редакции Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» с поправками от 01.09.2013 г. (далее ФЗ №184)
Во-первых, определимся с понятиями:
Следуя статье 20 ФЗ №184:
В свою очередь обязательное может проходить в двух формах: декларирование соответствия и обязательная сертификация.
По сути мы получаем 3 способа подтверждения соответствия:
— добровольная сертификация
— обязательная сертификация
— декларирование соответствия
Обязательную сертификацию рассматривать не будем: по данной теме она для нас интереса не представляет. Рассмотрим оставшиеся.
На данной форме не буду сильно акцентироваться, так как на данный момент толком не существует органов по сертификации (могу ошибаться). Единственная, которая приходит на ум — Газпромсерт, и та больше для использования продуктов внутри компании.
В соответствии с 21 статьей:
Одно время было движение по созданию системы добровольной сертификации в разрезе защиты ПДн, но похоже толком дело не пошло.
Да и разница в трате времени и ресурсов по сравнению с обязательной сертификацией выходит незначительная (если вообще выходит).
Наиболее привлекательным может показаться следующий пункт закона:
и особенно греющие душу строки той же статьи:
Особенно с учетом пункта 3 статьи 23:
Но обратим внимание на последнее предложение пункта 2 статьи 24: «Состав доказательственных материалов определяется соответствующим техническим регламентом.», а также пункт 5 главы 24:
Также (и в первую очередь) стоит учесть пункт 1 статьи 23:
Суммирую все перечисленное, получается следующее: Закон ни в коем разе не ограничивает наше право в декларировании соответствия средств защиты информации требованиям по защите информации (в соответствии с пунктом 1 статьи 28 «Заявитель вправе… выбирать форму и схему подтверждения соответствия, предусмотренные для определенных видов продукции соответствующим техническим регламентом; „), но данная процедура должна проходить в соответствии с техническим регламентом (в соответствии с пунктом 2 статьи 28 “Заявитель обязан… обеспечивать соответствие продукции требованиям технических регламентов»).
Но что такое технический регламент? В соответствии с определением, описанным выше — это нормативный документ, изданный на уровне Правительства и определяющий требования к продукции.
Отмечу, что данное утверждение верно отчасти… лучше сделать приписку: в настоящее время.
Выше мы выяснили, что декларирование соответствия должно осуществляться в соответствии с техническими регламентами, которые, в нашем случае, должны разработать сотрудники ФСТЭК. Но… «воз и ныне там».
За все время существования закона о ПДн не выпущено ни одного техничекого регламента. Единственное, что на данный момент существует — это профили защиты, но они предназначены для разработчиков средств защиты (и содраны, кстати, кажется с NIST). Ознакомиться можно с ними здесь: Пакет проектов профилей защиты.
С ФЗ 184 «О техническом регулировании» можно ознакомиться на официальном сайте ФСТЭК России:
Федеральный закон от 27 декабря 2002 г. N 184-ФЗ
Если появился интерес по профилям защиты, то нормативные документы можно посмотреть здесь.
В этот раз изложу не свое виденье вопроса, а выдержки из законов ведущие к тезису, что Сертификация — есть единственная форма оценки соответствия средств защиты требованиям по защите информации.
Статья получилась немного сумбурная, но, надеюсь, понятная.
Откуда растут ноги?
Будем рассматривать требования к средствам защиты в соответствии с последними нормативными документами: Приказ ФСТЭК №21, Постановление Правительства №1119, — именно они устанавливают требование о необходимости оценки соответствия.
Пункт 4 Приказа №21
4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
Пункт 13 Постановления №1119
Для обеспечения… уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:…
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Таким образом при нейтрализации угроз с помощью средств защиты необходимо использовать СЗИ, прошедшие оценку соответствия.
Для многих встает вопрос на этом пункте, так как в прямых документах по защите информации не дается внятного определения оценки соответствия.
Что есть «оценка соответствия»?
Для того, чтоб понять, что же это, следует обратиться к последней редакции Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» с поправками от 01.09.2013 г. (далее ФЗ №184)
Во-первых, определимся с понятиями:
декларирование соответствия — форма подтверждения соответствия продукции требованиям технических регламентов;
декларация о соответствии — документ, удостоверяющий соответствие выпускаемой в обращение продукции требованиям технических регламентов;
оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
подтверждение соответствия — документальное удостоверение соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров;
технический регламент — документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации);
форма подтверждения соответствия — определенный порядок документального удостоверения соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.
Следуя статье 20 ФЗ №184:
Формы подтверждения соответствия,- выясняем, что существует добровольная сертификация и обязательное подтверждение соответствия.
1. Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
3. Обязательное подтверждение соответствия осуществляется в формах:
— принятия декларации о соответствии (далее — декларирование соответствия);
— обязательной сертификации.
В свою очередь обязательное может проходить в двух формах: декларирование соответствия и обязательная сертификация.
По сути мы получаем 3 способа подтверждения соответствия:
— добровольная сертификация
— обязательная сертификация
— декларирование соответствия
Обязательную сертификацию рассматривать не будем: по данной теме она для нас интереса не представляет. Рассмотрим оставшиеся.
Добровольная сертификация
На данной форме не буду сильно акцентироваться, так как на данный момент толком не существует органов по сертификации (могу ошибаться). Единственная, которая приходит на ум — Газпромсерт, и та больше для использования продуктов внутри компании.
В соответствии с 21 статьей:
Статья 21. Добровольное подтверждение соответствия,- видно, что она больше используется для соответствия корпоративным стандартам.
1. Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, предварительным национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров.…
2. Система добровольной сертификации может быть создана юридическим лицом и (или) индивидуальным предпринимателем или несколькими юридическими лицами и (или) индивидуальными предпринимателями.
Одно время было движение по созданию системы добровольной сертификации в разрезе защиты ПДн, но похоже толком дело не пошло.
Да и разница в трате времени и ресурсов по сравнению с обязательной сертификацией выходит незначительная (если вообще выходит).
Декларирование соответствия
Наиболее привлекательным может показаться следующий пункт закона:
Статья 24. Декларирование соответствия
1. Декларирование соответствия осуществляется по одной из следующих схем:
— принятие декларации о соответствии на основании собственных доказательств;
— принятие декларации о соответствии на основании собственных доказательств, доказательств, полученных с участием органа по сертификации и (или) аккредитованной испытательной лаборатории (центра) (далее — третья сторона).
и особенно греющие душу строки той же статьи:
2. При декларировании соответствия на основании собственных доказательств заявитель самостоятельно формирует доказательственные материалы в целях подтверждения соответствия продукции требованиям технических регламентов. В качестве доказательственных материалов используются техническая документация, результаты собственных исследований (испытаний) и измерений и (или) другие документы, послужившие мотивированным основанием для подтверждения соответствия продукции требованиям технических регламентов. Состав доказательственных материалов определяется соответствующим техническим регламентом.
Особенно с учетом пункта 3 статьи 23:
3. Декларация о соответствии и сертификат соответствия имеют равную юридическую силу независимо от схем обязательного подтверждения соответствия и действуют на всей территории Российской Федерации.
Но обратим внимание на последнее предложение пункта 2 статьи 24: «Состав доказательственных материалов определяется соответствующим техническим регламентом.», а также пункт 5 главы 24:
Состав доказательственных материалов определяется соответствующим техническим регламентом.
Также (и в первую очередь) стоит учесть пункт 1 статьи 23:
1. Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента.
Суммирую все перечисленное, получается следующее: Закон ни в коем разе не ограничивает наше право в декларировании соответствия средств защиты информации требованиям по защите информации (в соответствии с пунктом 1 статьи 28 «Заявитель вправе… выбирать форму и схему подтверждения соответствия, предусмотренные для определенных видов продукции соответствующим техническим регламентом; „), но данная процедура должна проходить в соответствии с техническим регламентом (в соответствии с пунктом 2 статьи 28 “Заявитель обязан… обеспечивать соответствие продукции требованиям технических регламентов»).
Но что такое технический регламент? В соответствии с определением, описанным выше — это нормативный документ, изданный на уровне Правительства и определяющий требования к продукции.
Так почему же «сертификация» = «оценка соответствия»?
Отмечу, что данное утверждение верно отчасти… лучше сделать приписку: в настоящее время.
Выше мы выяснили, что декларирование соответствия должно осуществляться в соответствии с техническими регламентами, которые, в нашем случае, должны разработать сотрудники ФСТЭК. Но… «воз и ныне там».
За все время существования закона о ПДн не выпущено ни одного техничекого регламента. Единственное, что на данный момент существует — это профили защиты, но они предназначены для разработчиков средств защиты (и содраны, кстати, кажется с NIST). Ознакомиться можно с ними здесь: Пакет проектов профилей защиты.
С ФЗ 184 «О техническом регулировании» можно ознакомиться на официальном сайте ФСТЭК России:
Федеральный закон от 27 декабря 2002 г. N 184-ФЗ
Если появился интерес по профилям защиты, то нормативные документы можно посмотреть здесь.