Ads
Comments 26
Эти документы я довольно хорошо знаю. Но сильно сомневаюсь, что они являются Техническими регламентами. Всё таки это Руководящие документы.
Если юридически они являются, то я только за всеми ногами. Авось в споре родится истина.
Тогда прошу ответить на вопрос.
По каким регламентам в нашей стране происходит сертификация?
А ни по каким, клепается методика для каждого продукта в серт. лаборатории и отправляется на согласование в сертифицирующий орган, который (как повезет) либо согласует, либо нет. А у нас в России всё так: у тебя есть бумажка, что ты можешь что-то делать, тогда можно делать через одно место, а вот если нет бумажки, то и по закону не всегда поможет.
А я, вот, знаю что вся сертификация СЗИ у нас делается по РД.
Если отсутствует РД — делается по ТУ.
Что значит делается по РД? На соответствие требованиям РД? Никто и не спорит.
Я вообще не понимаю чего вы добиваетесь. Оттачиваете «мастер-класс российских политиков»? Или что?
Я прямо сижу и уговариваю не делать декларирование соответствия. Оно мне надо? Делайте. Где рецепт этого вселенского счастья? Напишите пошаговый howto. Думаю все обрадуются.
Цитирую Волкова
О техрегламенте говорит все тот же 184-ФЗ:

Ст. 7 п. 3: Технический регламент должен содержать перечень и (или) описание объектов технического регулирования, требования к этим объектам и правила их идентификации в целях применения технического регламента. Технический регламент должен содержать правила и формы оценки соответствия…

Вот только техрегламентов для средств защиты информации до сих пор не придумано, а значит:

Ст. 46 п. 2: До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами.
Ст. 5 п. 1: В отношении … продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации…


anvolkov.blogspot.ru/2011/08/1.html
Согласен.
Смущает только пункт:
4. До вступления в силу соответствующих технических регламентов схема декларирования соответствия на основе собственных доказательств допускается для применения только изготовителями или только лицами, выполняющими функции иностранного изготовителя.
Статья 46. Переходные положения

подлежат обязательному исполнению только в части, соответствующей целям:
защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества;
охраны окружающей среды, жизни или здоровья животных и растений;
предупреждения действий, вводящих в заблуждение приобретателей.
Не совсем понятно как это нивелирует 4 пункт, тогда не будет действовать и 2 пункт, утверждающий, что заместо регламентов можно руководствоваться нормативными актами фед. служб
В своей статье вы продемонстрировали полнейшую некомпетентность в вопросе.

Конечно, мы не можем просто написать «соответствует». Придется самим делать проверки и писать документы.
В соответсвии с РД. И искользовать сертифицированные криптосредства, потому что так проще декларировать соответствие КС1 и КС2.
Ну если стоит задача поспорить, то возможно. Если окажусь не прав, буду, скорее даже рад.
Вы написали разгромную статью и указали на отсутствие технических регламентов.
Вам указали на то что это заблуждение и привели ссылки на соответствующие регламенты.

Вы варажаете сомнения в том что руководящие документы обязательны к исполнению? Или вы считаете что РД например по МЭ или СВТ — это не технические регламенты?
Задача — грамотно и красиво выполнить требования закона. С минимальными затратами.

Спорить есть смысл по конкретным вопросам По теме, конечно же. Я вам их задал. Жду ответов.
Я не увидел ссылок на регламенты. И не вижу ничего разгромного в посте.
Не путайте холодное с мокрым. Руководящие документы не подходят под определение технических регламентов, и при чем тут собственно их обязательность, если мы выясняем, есть ли вообще тех. регламенты:
а) тех. регламент — документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации. У нас Председатель ГТК (или как приемник ФСТЭК) стал Президентом РФ? Или ФСТЭК стал Правительством?
б) тех. регламент помимо требований в том числе должен «содержать правила и формы оценки соответствия», это процессный документ. Указанные вами документы — "что требуется получить", технические регламенты должны описывать "как".
в) например у нас в РФ есть «Технический регламент на табачную продукцию» или «ФЗ „О безопасности зданий и сооружений“, где тех. регламент на СЗИ?
Я привел аргументы, докажите обратное.
Сделайте обещанный пост с формами документов и обоснованиями.
Да, про оценку соответствия, с упором на РД и тд с шаблонами документов.
habrahabr.ru/post/200894/
Можно даже в некоем сыром виде, в личку, если не затруднит.
Может это все и филькина грамота, но есть правило, чем больше документов, тем больше «внушаит». Поэтому интересен опыт.
Нет задачи написать как можно больше бумаги и пустить пыль в глаза.

Есть задача четко обосновать те или иные методы защиты, по возможности минуя процедуру сертификации.
Ограничивается это стремление только здравым смыслом.

Мы тут с товарищем дошли и до того что даже по РД не совсем корректно будет проверять.
У нас осталось только 1119 ПП. Пока единственные понятный и легитимный документ, описывающий что делать.
Все остальное даже за уши притянуть не получилось.

Я выделю время и напишу запланированную статью с примерными шаблонами документов.
Все что надо, давно защищается с помощью best practices и софта в том числе из мира open source.
А это именно пыль в глаза.
Просто я рассматриваю проверку регулятора как еще одну угрозу.

А платить за Open Source с бумажкой over 9000+ денег не вижу смысла.
Only those users with full accounts are able to leave comments. , please.