Ответ Минкомсвязи про требование сертификата ФСТЭК на средства защиты при включении в реестр отечественного ПО

Ответ Минкомсвязи про требование сертификата ФСТЭК на средства защиты при включении в реестр отечественного ПО
Пока идет форум директоров по ИБ я решил не публиковать запланированную заметку с обзором средств моделирования угроз; опубликую что-нибудь попроще. Это будет ответ Минкомсвязи, полученный одним из стартапов по ИБ, с которым я познакомился на защищаютсвою позицию тем, что "для попадания в реестр важно соблюдение критериев “отечественности”, а не наличие лицензий внутренних контролирующих органов" (имеется ввиду все-таки сертификат, а не лицензия) и "Сертификация не имеет прямого отношения к определению происхождения софта. Она занимает значительное время и требует существенных затрат. Эти факторы не должны затруднять работу экспертного совета и процедуру формирования Реестра". Я прекрасно понимаю чем это обусловлено (и все понимают), но так откровенно забивать болт на требования Постановления Правительства?.. Хотя бы внести изменения в его текст, чтобы придать всей этой конструкции хоть какую-то легитимность...

Я еще тогда говорил, что этот реестр - это профанация, а не импортозамещение и обеспечение национальной безопасности. Требований лицензии ФСТЭК на разработку и сертификата на разработанные средства защиты хоть как-то укладывались хотя бы во вторую составляющую. И вот теперь и на ней поставили крест. Один плюс - стартапам по ИБ теперь не надо заморачиваться получением сертификатов ФСТЭК, чтобы попасть в реестр Минкомсвязи (хотя этот сертификат понадобится при покупке решений заказчиками в рамках госзакупок).

И вот видя такую неразбериху, один из стартапов написал запрос в Минкомсвязь с просьбой разъяснить эту ситуацию и четко ответить - нужен сертификат или нет. Мне всегда казалось, что я могу выстроить цепочку рассуждений наших госорганов, готовящих официальные ответы на запросы граждан. И каждый раз регуляторы преподносят сюрпризы. Так оказалось и на этот раз. Итак ответ Минкомсвязи оказался следующим:


Если вкратце, то суть такова - "в одном месте наших правил сертификат требуется, в другом нет, а что вам делать, мы и сами не знаем - решайте сами".
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь