В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
Основными причинами обращения к В.В. Селину послужили: 1) устойчивое мнение специалистов в области информационной безопасности, что подтверждение соответствия средств защиты конфиденциальной информации (СЗИ) – есть обязательная сертификация и не что иное; 2) явное несовершенство существующей системы подтверждения соответствия СЗИ требованиям.
До вступления в силу ФЗ "О персональных данных" участники гражданского оборота, обрабатывавшие сведения ограниченного доступа, практически не имели четких и однозначных руководств в отношении мер по защите конфиденциальной информации; законодательные и подзаконные акты не определяли всего необходимого перечня организационных и технических мер. С вступлением в силу № 152-ФЗ и подзаконных актов операторы ПДн, специалисты информационной безопасности нуждаются в разъяснении отдельных механизмов действий по процедурам оценки соответствия СЗИ, предназначенных для обеспечения безопасности ПДн и других категорий конфиденциальных сведений.
Ситуация, сложившаяся в названной области, характеризуется следующим.
1. В соответствии с ФЗ "О персональных данных" и Положением "О методах и способах защиты информации в информационных системах персональных данных", безопасность ПДн обеспечивается в том числе и применением прошедших в установленном порядке процедуру оценки соответствия СЗИ.
2. В соответствии со ст. 5 ФЗ "О техническом регулировании" в отношении СЗИ, предназначенных для обеспечения безопасности ПДн и иной конфиденциальной информации, обязательными являются требования, установленные ФСТЭК России.
3. В соответствии со ст. 46 ФЗ "О техническом регулировании" со дня вступления в силу названного закона впредь до вступления в силу соответствующих технических регламентов:
На основании вышеизложенного допустимо сделать вывод, что положения, специальные нормативные и другие документы, размещенные на сайте ФСТЭК России, актуальны и могут применяться в целях организации и проведения процедур оценки соответствия СЗИ.
Ныне существующая практика в области подтверждения соответствия СЗИ, используемых в целях обеспечения безопасности конфиденциальной информации, состоит в том, что участники гражданского оборота, действуя в соответствии с Положением "О сертификации средств защиты информации" и Положением "О сертификации средств защиты информации по требованиям безопасности информации", реализуют процедуры, имеющие конечной целью получение сертификата соответствия. Названные документы фактически обязывают операторов ПДн сертифицировать 90–99% своих средств.
Практика работ показывает, что на получение сертификата соответствия СЗИ затрачивается порядка 30% от стоимости самого средства и уходит времени в среднем до полугода!
В результате участники гражданского оборота стоят перед выбором:
Анализ документов, размещенных на сайте ФСТЭК России, показывает, что вышеназванные положения не в полной мере соответствуют ФЗ "О техническом регулировании", так как не устанавливают особенностей технического регулирования в отношении СЗИ, используемых в целях защиты конфиденциальной информации (ПДн и др.). И оба положения предусматривают только одну форму подтверждения соответствия – обязательную сертификацию.
В итоге получается, что согласно ФЗ "О техническом регулировании", требования, установленные Правительством РФ и ФСТЭК России, легитимны и могли бы применяться; с другой стороны, эти требования не распространяются на процедуры оценки соответствия средств защиты конфиденциальной информации.
Налицо явное противоречие, которое в теории права называется коллизией.
Одним из принципов разрешения противоречий является преимущество высшего по силе акта. Согласно этому принципу при возникновении противоречий нового закона со старыми подзаконными нормативно-правовыми актами применяются положения закона, а нормы подзаконного акта действуют лишь в непротиворечащей ему части. В результате участникам гражданского оборота остается просто ждать, пока будет восполнен пробел в области подтверждения соответствия средств защиты именно конфиденциальной информации.
Более чем из трех тысяч сертифицированных СЗИ, включенных в Госреестр, операторами персональных данных может быть использовано порядка 800. Это является недопустимо малым количеством, если принять во внимание, что только в реестре уполномоченного органа по защите прав субъектов персональных данных содержится информация о более чем 219 тыс. операторов персональных данных.
С учетом того, что на сайте ФСТЭК России указано всего 35 испытательных лабораторий и 9 органов по сертификации, не представляется возможным понять, каким образом названное количество аккредитованных органов сможет обеспечить подтверждение соответствия всего потребного количества СЗИ для всех заинтересованных лиц да еще в условиях противоречий в нормативно-правовых актах?
В соответствии с ФЗ "О техническом регулировании" критерии аккредитации органов по сертификации и испытательных лабораторий, а также требования к ним устанавливаются ФСТЭК России на основании международных стандартов. Но в то же время положение "Об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации" каких-либо ссылок на международные стандарты не имеет.
В начале настоящего письма высказано мнение, что подтверждение соответствия СЗИ – есть обязательная сертификация и не что иное.
Согласно ФЗ "О техническом регулировании", Правительством РФ утверждаются и ежегодно уточняются единые перечни продукции, подлежащей обязательному подтверждению соответствия. А продукция, которая не включена ни в один из перечней, не подлежит декларированию соответствия или обязательной сертификации.
Ныне существующие единые перечни не содержат в себе какого-либо упоминания о СЗИ.
С учетом вышеизложенного, а также того, что существующее положение "О сертификации средств защиты информации по требованиям безопасности информации" определяет перечень средств, подлежащих обязательному подтверждению соответствия в форме сертификации, но используемых только для защиты сведений, составляющих государственную тайну, получается, что добровольное подтверждение соответствия в форме добровольной сертификации допустимо для СЗИ, используемых для защиты конфиденциальной информации (ПДн и проч.)?
Просим дать комментарии по существу настоящего обращения и информировать:
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2012