Задался я тут целью провести исследование на тему надо ли все-таки сертифицировать средства защиты или нет. И вот что, вкратце, у меня получилось. В существующей нормативной базе существует два примера упоминания вопросов сертификации - прямое и косвенное. Прямое, например, есть в совместном приказе ФСТЭК и ФСБ, в Указе Президента 351 или в пресловутом Постановлении Правительства 330. В них прямо говорится, что средства защиты должны быть сертифицированы ФСБ или ФСТЭК. Косвенное упоминание есть в Постановлении Правительства 424 , в Приказе ФСТЭК 58, в СТО Банка России (РС 2.3) и т.п. В них говорится о том, что системы защиты должны пройти оценку соответствия в установленном порядке.
Согласно ФЗ-184 "О техническом регулировании" установлено 3 формы подтверждения соответствия - декларация соответствия, обязательная и добровольная сертификация. Декларировать нам не на что - техрегламента по ИБ так и не появилось. Остается два оставшихся варианта - добровольная и обязательная сертификация. С обязательной все ясно - она должна быть определена Правительством или Президентом (но не регулятором и поэтому приказ ФСТЭК 199 "не у дел"). По обязательной сертификации средств защиты у нас несколько постановлений, как минимум, ПП-608 "О сертификации средств защиты информации". С ним вроде бы все ясно - оно четко говорит, что обязательной сертификации у нас подлежат только средства защиты гостайны. Все остальное носит добровольный характер. И вот тут начинается самое интересное.
Оказывается системы сертификации Федеральной службы по техническому и экспортному контролю (регистрационный номер РОСС RU.0001.01БИ00), Федеральной службы безопасности (регистрационный номер РОСС RU.0001.030001), Министерства обороны Российской Федерации (регистрационный номер РОСС RU.0001.01ГШ00) и у Службы Внешней Разведки (регистрационный номер РОСС RU.0001.01СЗ00) являются системами добровольнойсертификации средств защиты. Именно так они зарегистрированов в Ростехрегулировании, который в России и отвечает за регистрацию систем добровольной сертификации и регулировании вопросов обязательной оценки соответствия.
Также к системам добровольной сертификации средств защиты информации относятся:
система добровольной сертификации ГАЗПРОМСЕРТ . Она создана ОАО [Газпромk приказом от 06 февраля 1999 г. 10 (регистрационный РОСС RU.3022.04ГО00 от 17 июля 2000 г.). Ориентирована только на Газпром и его дочерние предприятия.система добровольной сертификации [ АйТиСертифика k. Она создана ЕВРААС (регистрационный РОСС RU.М089.04ИТ00). По информации создателей данной системы ее сертификаты признаются ФСТЭК России и Федеральной службой безопасности.система добровольной сертификации Ecomex (регистрационный РОСС RU.З680.04УЭТ0). Данная система сертификации создана в сентябре 2010 года в связи с чем широкого распространения она пока не получила. Я вообще ее в Интернете, кроме сайта Ростехрегулирования, не нашел. Иными словами уйти от сертификации нам пока не удается (если это прямо не разрешено отраслевым регулятором, как, например, ЦБ в СТО разрешил для защиты АБС не использовать сертифицированные средства защиты). Вопрос в том, что сертификация средств защиты не должна быть обязательной, и не обязательно по линии ФСТЭК или ФСБ ;-) Вы можете провести ее, например, в "Газпромсерте" или в "АйТиСертифике". Законодательство дает вам такое право (как, собственно, и сама ФСТЭК своей формулировкой об "оценке соответствия в установленном порядке"). А системы сертификации, отличные от, например, ФСТЭКовской, должны быть выгоднее. Иначе они не смогут конкурировать с регуляторами.
Вот такой расклад получается... на данный момент.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.