сертификация СЗИ

Разработан проект Положения о сертификации СЗИ

Автор Владимир в . Опубликовано О лицензировании ФСТЭК

В феврале-марте на конференции ФСТЭК обсуждался проект Положения о сертификации средств защиты информации, представляющую собой государственную тайну и иную информацию ограниченного доступа. Анализируя доклад представителя ФСТЭК, эксперты отметили ряд положительных моментов, однако после публикации проекта энтузиазм поутих: оказалось, что новое положение достаточно «сырое», ряд норм ссылается на Перечни СЗИ, которых еще не существует, а формулировки вызывают вопросы даже у специалистов.

Итак, каким образом будет осуществляться сертифицирование средств защиты, если проект Положения примут в существующей редакции?

Условия сертификации СЗИ

1.Срок действия сертификата увеличится до 5 лет. Данное условие не распространяется на потребителя СЗИ при одновременном наличии условий:

  • срок эксплуатации, указанный в заявке на сертификацию, не истек;
  • заявитель своевременно актуализирует и устраняет уязвимости СЗИ, осуществляет надлежащую техподдержку;
  • использование данного средства защиты соответствует требованиям ФСТЭК по защите информации, использование данного СЗИ прямо не запрещено регулятором;
  • сведения о сертификате средства защиты размещены на сайте ФСТЭК.

2. Устанавливаются требования к заявителям, проводится разграничение потребителя и заявителя. Отдельно указано, что российские разработчики обязаны иметь действующую лицензию ФСТЭК на создание и разработку СЗИ.

3. ФСТЭК устанавливает реальные меры контроля за надлежащей технической поддержкой средств защиты и своевременным устранением найденных брешей в защите со стороны разработчика. При этом регулятор намерен мониторить уровень техподдержки как официальными средствами (например, запросы, переписка, выдача предписаний), так и с помощью контрольных закупок, звонков «пользователя» в поддержку и других способов, позволяющих оценить реальную реакцию компании на подобные запросы. Последствием нарушений правил поддержки продукта становится отзыв сертификата.

4. Заявка на сертификацию средства защиты будет детализирована. В частности, при запросе сертификации иностранного средства при условии, что разработчик не имеет соответствующей лицензии ФСТЭК, пользователю придется обосновать необходимость использования СЗИ иностранного происхождения. Таким образом продолжается курс на импортозамещение – пользователям будет проще использовать отечественные разработки, пусть и в ущерб качеству, нежели объяснять, почему для работу требуется именно зарубежные СЗИ.

5. Отсюда же вытекает следующее требование, ужесточающее процедуру для иностранных СЗИ: такие средства сертифицируются на территории РФ с предоставлением исходников и выездной проверкой мест производства. Вероятно, эта мера приведет к снижению заявок на сертификацию иностранных решений и увеличению спроса на отечественные СЗИ.

6. Планируется изменить схемы сертификации: заявитель сможет сертифицировать продукт по схеме «партия» или «единичный экземпляр», тогда как пользователю доступна лишь схема «серия». С одной стороны, это не решает проблему выдачи нескольких сертификатов на один и тот же продукт для разных заявителей, однако само такое разграничение схем выглядит вполне логично.

Общее впечатление от проекта Положения о сертификации у специалистов неоднозначное. С одной стороны, пора заменить морально устаревшие правила и учесть огромный скачок прогресса в IT-сфере и в области защиты данных. С другой стороны проект мало чем отличается от правил ФСТЭК и ФСБ, уже регулирующих сертификацию СЗИ, предназначенных для защиты гостайны и других сведений особой важности. Остается надеяться, что ФСТЭК прислушается к мнениям специалистов по ИБ и доработает Положение до рабочей версии.

Нужна помощь в сертификации СЗИ или получении лицензии ФСТЭК на разработку СЗИ? Обращайтесь, поможем.

Заказать звонок

Трекбэк с Вашего сайта.

Оставить комментарий

Контакты

Телефон:
+7 (499) 403-33-59 ежедневно 9:00-22:00
+7 (812) 409-97-73 ежедневно 9:00-22:00

Почта:
Info@srodopuski.com - по всем вопросам
partnership@srodopuski.com - предложения и сотрудничество

Адрес:
105318, Москва, Ибрагимова 35 к2, офис 14
192012, Санкт-Петербург, Белоостровская 22