Открытое письмо директору ФСТЭК России В.В. Селину"О проблемах в области подтверждения соответствия средств защиты конфиденциальной информации"

Основными причинами обращения к В.В. Селину послужили: 1) устойчивое мнение специалистов в области информационной безопасности, что подтверждение соответствия средств защиты конфиденциальной информации (СЗИ) – есть обязательная сертификация и не что иное; 2) явное несовершенство существующей системы подтверждения соответствия СЗИ требованиям.

До вступления в силу ФЗ "О персональных данных" участники гражданского оборота, обрабатывавшие сведения ограниченного доступа, практически не имели четких и однозначных руководств в отношении мер по защите конфиденциальной информации; законодательные и подзаконные акты не определяли всего необходимого перечня организационных и технических мер. С вступлением в силу № 152-ФЗ и подзаконных актов операторы ПДн, специалисты информационной безопасности нуждаются в разъяснении отдельных механизмов действий по процедурам оценки соответствия СЗИ, предназначенных для обеспечения безопасности ПДн и других категорий конфиденциальных сведений.

Ситуация, сложившаяся в названной области, характеризуется следующим.

1. В соответствии с ФЗ "О персональных данных" и Положением "О методах и способах защиты информации в информационных системах персональных данных", безопасность ПДн обеспечивается в том числе и применением прошедших в установленном порядке процедуру оценки соответствия СЗИ.

2. В соответствии со ст. 5 ФЗ "О техническом регулировании" в отношении СЗИ, предназначенных для обеспечения безопасности ПДн и иной конфиденциальной информации, обязательными являются требования, установленные ФСТЭК России.

3.  В соответствии со ст. 46 ФЗ "О техническом регулировании" со дня вступления в силу названного закона впредь до вступления в силу соответствующих технических регламентов:

• требования к СрЗИ, установленные нормативными документами ФСТЭК, подлежат обязательному исполнению;
• оценка соответствия осуществляется в соответствии с правилами, установленными нормативными документами ФСТЭК, принятыми до дня вступления № 184-ФЗ в силу;
• Правительством России утверждаются и ежегодно уточняются единые перечни продукции, подлежащей обязательной сертификации и декларированию соответствия.

На основании вышеизложенного допустимо сделать вывод, что положения, специальные нормативные и другие документы, размещенные на сайте ФСТЭК России, актуальны и могут применяться в целях организации и проведения процедур оценки соответствия СЗИ.

На практике

Ныне существующая практика в области подтверждения соответствия СЗИ, используемых в целях обеспечения безопасности конфиденциальной информации, состоит в том, что участники гражданского оборота, действуя в соответствии с Положением "О сертификации средств защиты информации" и Положением "О сертификации средств защиты информации по требованиям безопасности информации", реализуют процедуры, имеющие конечной целью получение сертификата соответствия. Названные документы фактически обязывают операторов ПДн сертифицировать 90–99% своих средств.

Практика работ показывает, что на получение сертификата соответствия СЗИ затрачивается порядка 30% от стоимости самого средства и уходит времени в среднем до полугода!

В результате участники гражданского оборота стоят перед выбором:

1. потратить на сертификацию денежные средства в объеме одного-двух годовых бюджетов, тем самым поставить свою деятельность на грань рентабельности;
2. провести "облегченную" процедуру за приемлемые деньги в организации, не являющейся аккредитованным органом, убедиться в ничтожности "сертификата" и вернуться к п. 1;
3. не проводить работ по подтверждению СЗИ требованиям, дождаться проверки и в результате быть подвергнутыми санкциям, в том числе конфискации несертифицированных СЗИ, и после опубликования результатов проверки в средствах массовой информации полностью прекратить свою деятельность.

Противоречия

Анализ документов, размещенных на сайте ФСТЭК России, показывает, что вышеназванные положения не в полной мере соответствуют ФЗ "О техническом регулировании", так как не устанавливают особенностей технического регулирования в отношении СЗИ, используемых в целях защиты конфиденциальной информации (ПДн и др.). И оба положения предусматривают только одну форму подтверждения соответствия – обязательную сертификацию.

В итоге получается, что согласно ФЗ "О техническом регулировании", требования, установленные Правительством РФ и ФСТЭК России, легитимны и могли бы применяться; с другой стороны, эти требования не распространяются на процедуры оценки соответствия средств защиты конфиденциальной информации.

Налицо явное противоречие, которое в теории права называется коллизией.

Одним из принципов разрешения противоречий является преимущество высшего по силе акта. Согласно этому принципу при возникновении противоречий нового закона со старыми подзаконными нормативно-правовыми актами применяются положения закона, а нормы подзаконного акта действуют лишь в непротиворечащей ему части. В результате участникам гражданского оборота остается просто ждать, пока будет восполнен пробел в области подтверждения соответствия средств защиты именно конфиденциальной информации.

Более чем из трех тысяч сертифицированных СЗИ, включенных в Госреестр, операторами персональных данных может быть использовано порядка 800. Это является недопустимо малым количеством, если принять во внимание, что только в реестре уполномоченного органа по защите прав субъектов персональных данных содержится информация о более чем 219 тыс. операторов персональных данных.

С учетом того, что на сайте ФСТЭК России указано всего 35 испытательных лабораторий и 9 органов по сертификации, не представляется возможным понять, каким образом названное количество аккредитованных органов сможет обеспечить подтверждение соответствия всего потребного количества СЗИ для всех заинтересованных лиц да еще в условиях противоречий в нормативно-правовых актах?

В соответствии с ФЗ "О техническом регулировании" критерии аккредитации органов по сертификации и испытательных лабораторий, а также требования к ним устанавливаются ФСТЭК России на основании международных стандартов. Но в то же время положение "Об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации" каких-либо ссылок на международные стандарты не имеет.

В начале настоящего письма высказано мнение, что подтверждение соответствия СЗИ – есть обязательная сертификация и не что иное.

Согласно ФЗ "О техническом регулировании", Правительством РФ утверждаются и ежегодно уточняются единые перечни продукции, подлежащей обязательному подтверждению соответствия. А продукция, которая не включена ни в один из перечней, не подлежит декларированию соответствия или обязательной сертификации.

Ныне существующие единые перечни не содержат в себе какого-либо упоминания о СЗИ.

С учетом вышеизложенного, а также того, что существующее положение "О сертификации средств защиты информации по требованиям безопасности информации" определяет перечень средств, подлежащих обязательному подтверждению соответствия в форме сертификации, но используемых только для защиты сведений, составляющих государственную тайну, получается, что добровольное подтверждение соответствия в форме добровольной сертификации допустимо для СЗИ, используемых для защиты конфиденциальной информации (ПДн и проч.)?

На основании вышесказанного

Просим дать комментарии по существу настоящего обращения и информировать:

• о текущем статусе существующих РД, регламентирующих требования к СЗИ и возможности использовать эти документы для целей подтверждения соответствия средств защиты конфиденциальной информации;
• о подготовке проектов изменений в существующие нормативные правовые акты и нормативные документы;
• о подготовке технических регламентов и новых положений в соответствии с требованиям ФЗ "О техническом регулировании";
• о привлечении в экспертную комиссию по техническому регулированию представителей саморегулируемых и общественных организаций;
• о формах подтверждения соответствия СЗИ, предназначенных только для защиты ПДн и других категорий конфиденциальных сведений;
• рассматривается ли ФСТЭК России возможность наделения лицензиатов полномочиями по оценке соответствия средств защиты конфиденциальной информации;
• рассматривается ли ФСТЭК России возможность подтверждения соответствия СЗИ, предназначенных для защиты ПДн и других категорий конфиденциальных сведений, в системах добровольной сертификации.