Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    альтернативная измерительная площадка - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

альтернативная измерительная площадка

К списку тем | Добавить сообщение


Страницы: < 1 2 3

Автор: Chechaco, MASCOM | 82453 18.11.2017 12:34
Всем хорошего выходного ;)
В который раз уже....
Прежде чем говорить о выполнении требований стандартов вообще (и стандартов ГСИ в частности) надо вспомнить и усвоить:
В соответствии с Законом о тех. регулировании ОБЯЗАТЕЛЬНЫМ является ТОЛЬКО исполнение тех. регламентов. Все стандарты являются ТОЛЬКО рекомендательными. Далее следует куча Постановлений Правительства, Указов и т. д., включая 2015 год. В которых понаписано много чего, но окончательный смысл всё тот же:
"ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ
от 17 октября 2009 г. N 822
28. Обязательность применения документов, в которых установлены требования к продукции (работам, услугам), указанной в пункте 27 настоящего Положения, а также к процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции, устанавливается государственными заказчиками работ по стандартизации продукции (работ, услуг) и федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации"
То есть имеется ссылка (прямое указание на необходимость исполнения) на стандарт - исполняем. Нет прямой ссылки - идём лесом.
В свете вышесказанного в "Методике 2005" ссылка на ГОСР Р 51320-99 есть. Сам стандарт давным-давно отменён. Порядок "наследования" стандартов в стране, насколько я могу судить, не установлен (зачем, если это всего лишь рекомендации?). Следовательно надо бы в проекте новых "Методик..." ссылаться на нечто более позднее, сейчас - на действующий ГОСТ CISPR 16-1-4-2013. Что наша компания неоднократно и отмечала, рецензируя проекты новых НМД.
Особо отметим, однако, что процедура ВАЛИДАЦИИ площадки допускается ТОЛЬКО органами метрологии (то есть имеющими соответствующую лицензию), а не кем попало (как по нашему регулятору). Поскольку в соответствии с ГОСТ Р 8.568-97 (действует и сегодня!) измерительная площадка относится к ИСПЫТАТЕЛЬНОМУ ОБОРУДОВАНИЮ. И никому не понятная "ПАСПОРТИЗАЦИЯ" есть туфта полная и нонсенс! И на ИП (АИП) должен оформляться не "паспорт", а "Аттестат соответствия". И если эту работу выполнять нормально, то 95% "паспортизованных" АИП у лицензиатов никуда не годятся, поскольку не укладываются в требования стандартов. Сам проводил такие работы (измерения, валидацию...) неоднократно, знаю, о чём говорю...
И всё это прямое следствие полного неисполнения в системе ТЗИ требований ФЗ №102 2008 года "Об обеспечении единства измерений". Ведь наш уважаемый регулятор кроме Приказа от 26 февраля 2009 года № 65 реально ничего не сделал в этой области.Тем более, что по Указу Президента Российской Федерации «О государственном метрологическом надзоре в области обороны и обеспечения безопасности Российской Федерации» от 1 марта 2011 года N 254 у нашего регулятора НЕТ права метрологического надзора (контроля). А без соответствующего "ускоряющего пенделя" ёжик - птица гордая, пока не пнёшь - не полетит!
Как ПРАВИЛЬНО ко всей этой неразберихе относится со строго юридической точки зрения - судить мне сложно. Моя именно юридическая подготовка вполне эмпирическая, я ж инженер, а не юрист. Но что "у семи нянек дитё без глазу..." - абсолютно точно и особых доказательств не требует...
Как иллюстрация: в отзывах на две последовательные редакции новых методик по ПЭМИН дважды отмечали наличие ссылки на отменённый стандарт. Вы думаете исправили? Ха-ха-ха! Как у Шекспира: "Дальнейшее - молчанье...."
Вот так и живём... :;
Вспомните почти бессмертное советское: "Вы делаете вид, что нам платите - мы делаем вид, что работаем!". Полагаете, многое изменилось? Хм...
Чак

PS
Кстати, единственная (на данный момент) метрологически аттестованная методика измерений в области ТЗИ и разработана и аттестована установленным порядком именно нашей компанией. И, кстати, в смежной области "ПД ХХХ" такие же аттестованные методики разработал и аттестовал ГНИИИ ПТЗИ.
Таки можно!!!??? И небо на землю не упало ;) Когда "пендель" имеет место быть - "полёт нормальный"! ;))))))))

Автор: Зоя | 82594 20.11.2017 10:03
Для Chechaco, MASCOM | 82453
ссылка на ГОСР Р 51320-99 есть. Сам стандарт давным-давно отменён.
1. Можно ссылочку, когда и чем отменён.
На ресурсах сайта Росстандарта
http://www.gost.ru/wps/portal/pages/directions?WCM_GLOBAL_CONTEXT=/gost/GOSTRU/directions/Standardization/standards/catalog
числится со статусом - действует.
Или сайт не обновлялся?
2. По последним слухам и ощущениям, до конца годя появится новый сборник ПЭМИН взамен 2005?

Автор: WORM, MK | 82604 20.11.2017 20:43
" Все стандарты являются ТОЛЬКО рекомендательными "

В соответствии с законом "О стандартизации в РФ" документы по стандартизации в отношении продукции, используемой в целях защиты информации (а так же продукции по гособоронзаказу и продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии) применяются в соответствии с принципом ОБЯЗАТЕЛЬНОСТИ применения.

Автор: мимо проходил | 82607 20.11.2017 21:52
А ещё Федеральный закон "О техническом регулировании" Статья 5
В отношении оборонной продукции ....; продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа; продукции (работ, услуг), сведения о которой составляют государственную тайну;
обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, ....

Автор: Chechaco, MASCOM | 82634 22.11.2017 00:52
Всем доброго времени суток :)
Очень коротко...
Для Зоя | 82594:
Портал тех. регулирования оказался недоступен :( Но ГОСТ Р 51320 отменён уже года 4, не меньше. Методику обещают. Но как будет в реальности...? И обрадует ли общество сей НМД?
Для "мимо проходил | 82607" и "WORM, MK | 82604":
Угу, читал... И внимательно. Могу назвать ещё 4-5 документов на эту тему. Полно перекрёстных ссылок а смысл всё тот же. Прямо указан - выполняем. Нет указания - гуляем-с... Да и действительность подтверждает именно такую ситуацию...
Кстати, последний пост и просто не о стандартах. А я писал именно и только о них.
Чак

Автор: WORM, MK | 82675 22.11.2017 08:48
" Могу назвать ещё 4-5 документов на эту тему. Полно перекрёстных ссылок а смысл всё тот же. Прямо указан - выполняем. Нет указания - гуляем-с... Да и действительность подтверждает именно такую ситуацию..."

Документов и впрямь много, но закон-то прямо и непосредственно регулирует вопросы СТАНДАРТИЗАЦИИ. Все остальные документы - на вторых и третьих ролях...

А насчет действительности, так она всегда у нас такая: почитает ФСТЭК закон "О стандартизации..", спохватится - и начнет преображать действительность.

Автор: Chechaco, MASCOM | 82795 22.11.2017 22:17
Для Зоя | 82594:
Проверил наконец. Самое забавное, что Вы правы. Сейчас отмечен как действующий. Но то, что ещё не столь давно был отменён - точно :)
"Не всё в порядке в Датском королевстве!" В первый раз вижу такое "возрождение из пепла..."
Для WORM, MK | 82675:
Хм... А как Вы полагаете, Постановление правительства имеет силу Закона? Например ПОСТАНОВЛЕНИЕ от 17 октября 2009 г. N 822
...
28. Обязательность применения документов, в которых установлены требования к продукции (работам, услугам), указанной в пункте 27 настоящего Положения, а также к процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции, устанавливается государственными заказчиками работ по стандартизации продукции (работ, услуг) и федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации.

А в упомянутом Вами Законе буквально сказано следующее:
Статья 4 (принципы стандартизации)
2) обязательность применения документов по стандартизации в отношении объектов стандартизации, предусмотренных статьей 6 настоящего Федерального закона;
Статья 6
Статья 6. Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией

1. Порядок стандартизации в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, а также процессов и иных объектов стандартизации, связанных с такой продукцией, устанавливается Правительством Российской Федерации.

То есть всё то же самое.... Правительство и определило своим Постановлением от 2009 года. То есть пока регулятор не скажет, что этот стандарт нужно исполнять - до тех пор и не надо...
Чак

Автор: WORM, MK | 82801 23.11.2017 09:04
to Chechaco
Постановление имеет меньшую силу, нежели закон. К тому же, Андрей Валерьянович, есть гораздо более свежее Постановление, и как раз под ФЗ-162:
ПОСТАНОВЛЕНИЕ
от 30 декабря 2016 г. N 1567
" О порядке стандартизации в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством российской федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну,
а также процессов и иных объектов стандартизации, связанных с такой продукцией "

Там, в частности, пишут:
" Национальные стандарты ограниченного распространения, а также документы национальной системы стандартизации применяются в обязательном порядке в отношении объектов стандартизации. "

Я это к тому, что регулятору, знакомому с этим документом (да и с законом) будет трудно доказать, что стандарт не обязателен. Хотя на практике, конечно, возможны варианты :))

Автор: Chechaco , MASCOM | 82806 23.11.2017 15:38
Всем доброго времени суток :)
Для WORM, MK | 82801:
Спасибо за новую версию Постановления. В предыдущем такой конкретики не было! Теперь, похоже, Вы правы. Наконец-то Правительство определило реально ОБЯЗАТЕЛЬНОСТЬ исполнения стандартов в нашей области. Разумеется, теперь начнутся споры в отношении каждого конкретного стандарта, относится он к области стандартизации в ТЗИ или нет ;) Чиновничьи игры бесконечны, увы...
Но первое законодательное "А" написано... А что написано пером... ;)
Вот теперь вопрос (на мой взгляд - один из основных!) следующий: Утверждать, что система ГОСТ ГСИ напрямую относится к стандартизации в области ТЗИ можно, но сложно. Разрабатывались-то они другими ведомствами и в других целях. В то же время основа ТЗИ - инструментальная оценка защищённости, сиречь - измерения.
Достаточно ли этой связи (то есть ФЗ-102 плюс ФЗ-162 плюс Постановления 1567), чтобы юридически корректно требовать обязательного исполнения всех метрологических стандартов при наших измерениях? И является (можно ли квалифицировать) НЕ исполнение указанных стандартов (особенно в области методологии СИ) нарушением федерального законодательства (с вытекающими последствиями!) ? Естественно, в первую очередь для регуляторов, как определяющих всю политику в области...
Чак

Автор: WORM, MK | 82807 23.11.2017 15:55
Дык... дальше, как обычно будет трактовка "священных текстов" конкретными должностными лицами регулятора.

А есть ведь еще ряд стандартов ИСО по управлению ИБ. Если их сочтут обязательными, количество бумаг на защищаемый объект резко вырастет...
"Но я надеюсь, что до этого не дойдет" (с)

Страницы: < 1 2 3

Просмотров темы: 4447

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.