Вопрос, поднятый в заголовке, не так прост, как кажется на первый взгляд. Обычно считается, что национальные стандарты (ГОСТы) являются документами добровольного применения (согласно ст.12 ФЗ-184 "О техническом регулировании"), т.е. не могут быть обязательными к использованию. Иными словами, различные ГОСТы, имеющие отношение к информационной безопасности (18044 по управлению инцидентами, 18045 по оценке безопасности ИТ, 27001 и т.д.), носят характер рекомендательный. Но это не так.
17 октября 2009 года было принято Постановление Правительства №822 "Об утверждении Положения об особенностях стандартизации оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, а также процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции" (в Консультанте ).
Основной объем текста постановления касается стандартизации оборонной продукции, но в 3-й части говорится и о нашей теме. Ст.27 говорит о том, что стандартизация того, что попадает в 5-ю статью ФЗ-184 осуществляется Ростехрегулированием, ФСТЭК, ФСБ, МинОбороны и СВР. А вот 28-я, последняя статья ПП-822, говорит о том, что обязательность применения этим самых стандартов устанавливается государственными заказчиками работ по стандартизации и 4-мя регуляторами, названными выше. Иными словами, ФСТЭКу ничто не мешает сделать любой свой ГОСТ (например, 51583 о создании АС в защищенном исполнении) обязательным к применению. И никаких дополнительных документов разрабатывать не надо. А еще таким же макаром можно и СТО БР ИББС сделать обязательным, придав ему сначала статус национального стандарта.
А вы говорите, не может быть...
17 октября 2009 года было принято Постановление Правительства №822 "Об утверждении Положения об особенностях стандартизации оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, а также процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции" (в Консультанте ).
Основной объем текста постановления касается стандартизации оборонной продукции, но в 3-й части говорится и о нашей теме. Ст.27 говорит о том, что стандартизация того, что попадает в 5-ю статью ФЗ-184 осуществляется Ростехрегулированием, ФСТЭК, ФСБ, МинОбороны и СВР. А вот 28-я, последняя статья ПП-822, говорит о том, что обязательность применения этим самых стандартов устанавливается государственными заказчиками работ по стандартизации и 4-мя регуляторами, названными выше. Иными словами, ФСТЭКу ничто не мешает сделать любой свой ГОСТ (например, 51583 о создании АС в защищенном исполнении) обязательным к применению. И никаких дополнительных документов разрабатывать не надо. А еще таким же макаром можно и СТО БР ИББС сделать обязательным, придав ему сначала статус национального стандарта.
А вы говорите, не может быть...
