Astra Linux Special Edition - Форум по вопросам информационной безопасности

" Для кого же тогда обязательны ГОСТ по аттестации (оба два)? "

"Пока только для тех у кого они согласованы с Заказчиком работ в ТЗ или в Программе."

Вообще-то для всех. Согласно ст.4 и ст. 6 ФЗ-162 "О стандартизации в РФ", документы по стандартизации в области защиты информации применяются в обязательном порядке.
И попробуйте убедить регулятора в необязательности...

При чем тут статья 4 ? какой пункт статьи?
Ну а в статье 6 .... устанавливается Правительством Российской Федерации.
И че? В чем убеждать то?

ППр 17.10.2009 N 822

28. Обязательность применения документов, в которых установлены требования к продукции (работам, услугам), указанной в пункте 27 настоящего Положения, а также к процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции, устанавливается государственными заказчиками работ по стандартизации продукции (работ, услуг) и федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации.

Где обязательность установленная федеральными органами исполнительной власти, уполномоченными в области противодействия техническим разведкам и технической защиты информации?

Еще раз ждем новый букварь!!
И утверждения проекта Постановления правительства подготовлен Минобороны России 25.12.2015

с Положением по стандартизации и пунктом 10. Национальные стандарты ограниченного распространения являются обязательными для применения и исполнения в отношении объектов стандартизации, установленных настоящим положением.

и п. 2
...б) "объект стандартизации" - продукция, используемая в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукция, сведения о которой составляют государственную тайну, создаваемых и (или) поставляемых вне государственного оборонного заказа, связанные с такой продукцией процессы, а также терминология, условные обозначения, исследования (испытания) и измерения, методы испытаний, маркировка, процедуры оценки соответствия.

Хмм...

тов. sekira, Вы уж цитируйте как следует.

" объект стандартизации - продукция (работы, услуги) (далее - продукция), процессы, системы менеджмента, терминология, условные обозначения, исследования (испытания) и измерения (включая отбор образцов) и методы испытаний, маркировка, процедуры оценки соответствия и иные объекты;

"
ст. 4. Стандартизация в Российской Федерации основывается на следующих принципах:
п.2. обязательность применения документов по стандартизации в отношении объектов стандартизации, предусмотренных статьей 6 настоящего Федерального закона, ....


ст 6. " Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией "

Ну и на всякий случай напомню, что ФЗ имеет большую юридич. силу в сравнении с Пост. Пр-ва.

И че?

Не то процитировали (берите из правовых систем данные!)
от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации"
ФЗ Статья 6 вступает в силу с 1 июля 2016 г.

ФЗ Статья 6. Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией

1. Порядок стандартизации в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, а также процессов и иных объектов стандартизации, связанных с такой продукцией, устанавливается Правительством Российской Федерации.

ФЗ отослал к Постановлению правительства которое пока не утверждено..., а то что действовало не содержит обязательность и отсылает регуляторам.

Вы случайно не перепутали порядок стандартизации с принципом применения документов по стандартизации?
Принцип очень простой: обязательность применения документов.

Итог (а то у меня от такого увлекательного цитирования глаза на лоб полезли): ФСТЭК ГОСТ разработала, а Правительство ничего не утвердило. Повторюсь, с ГИС та же история. И с НДВ по ПП 1119 аналогичная, пусть и реверсивная слегка. И... много еще примеров. Не беда - мы же, коллеги, в этой кухне давно варимся - пора уже привыкнуть к таким "несостыковочкам" :)
Вопрос-то в другом. Если ГОСТ не применять, то ДЗ обеспечивать, в принципе, не нужно (настройка BIOS на борту китай-материнки не в счет). Если ДЗ обеспечивать не нужно, появляется реальный канал утечки. Если появляется такой канал, его нужно закрывать. Замкнутый круг, ага. И, если раньше даже повода не было на него обращать внимания, ибо не рассматривали РД ГТК от НСД и СТР такой вопрос по ряду причин (хотя тов. из того же ОКБ САПР зачастую утверждают обратное). То сейчас появился какой-никакой повод в виде сих ГОСТ.
Итак, внимание, уважаемы знатоки, вопрос: "Будем бодаться с регулятором на заранее проигранной территории (лицензиаты мы как-никак, тем более однозначно с ГОСТ ознакомившиеся) или примем ГОСТ как модус операнди и начнем нагибать заказчика на соблюдения ДЗ в полной мере за счет встраивания отечественных СДЗ (благо, и требования по сертификации есть, и продукции хоть отбавляй)?" Естественно, к объектам, где за спиной каждого юзера (потенциального нарушителя) в АС стоит автоматчик - этот вопрос не относится...

2 oko
Это кто как. Кто-то будет бодаться, а кто-то нагибать )) Второе надежнее ))

Во всяком случае, если регулятор спросит "а чё не по ГОСТу?", то ответить практически и нечего...

Кстати, не раз спрашивал во 2 УФСТЭК, надо ли проводить ежегодный контроль в аттестованной ГИС. Ответ: не надо, надо постоянно поддерживать аттестованную ГИС в защищенном состоянии (см. мероприятия по эксплуатации аттестованной ИС в Приказе 17). А вот если по ГОСТу - ежегодный контроль строго обязателен, и любой аттестатор вправе (и даже обязан) вписать это в аттестат.

"ФСТЭК ГОСТ разработал, а Правительство ничего не утвердило"
Что и пытался показать...

"и начнем нагибать заказчика на соблюдения ДЗ в полной мере"
А что вменим как требования к наличию ДЗ в Программе и методике и в последующем Заключении? Есть уже профили к ДЗ как их привяжите к ОИ не к СЗИ на ОИ?

Нет требований к ОИ нече выдумывать их самим и по крупицам где то домысливать и додумывать, по документам которые регулятор заранее подготовил, что бы требования (букварь) которые выдут заработали. Ну или начинаем переписку с регулятором ... пущай разъесняет.

"А вот если по ГОСТу ..."

Я бы вам выложил все нестыковки с букварем, положением по аттестации, инструкцией по ГТ , методикой ПЭМИН, РД и т.д.
Но здесь низя и это совсем другая история...

Собственно почему и хотелось бы от регулятора отмашку...