В этот раз изложу не свое виденье вопроса, а выдержки из законов ведущие к тезису, что Сертификация — есть единственная форма оценки соответствия средств защиты требованиям по защите информации.
Откуда растут ноги?
Будем рассматривать требования к средствам защиты в соответствии с последними нормативными документами: Приказ ФСТЭК №21, Постановление Правительства №1119, — именно они устанавливают требование о необходимости оценки соответствия.
Пункт 4 Приказа №21
4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
Пункт 13 Постановления №1119
Для обеспечения… уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:…
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Таким образом при нейтрализации угроз с помощью средств защиты необходимо использовать СЗИ, прошедшие оценку соответствия.
Для многих встает вопрос на этом пункте, так как в прямых документах по защите информации не дается внятного определения оценки соответствия.
Что есть «оценка соответствия»?
Для того, чтоб понять, что же это, следует обратиться к последней редакции Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» с поправками от 01.09.2013 г. (далее ФЗ №184)
Во-первых, определимся с понятиями:
декларирование соответствия — форма подтверждения соответствия продукции требованиям технических регламентов;
декларация о соответствии — документ, удостоверяющий соответствие выпускаемой в обращение продукции требованиям технических регламентов;
оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
подтверждение соответствия — документальное удостоверение соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров;
технический регламент — документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации);
форма подтверждения соответствия — определенный порядок документального удостоверения соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.
Следуя статье 20 ФЗ №184:
Формы подтверждения соответствия
1. Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
3. Обязательное подтверждение соответствия осуществляется в формах:
— принятия декларации о соответствии (далее — декларирование соответствия);
— обязательной сертификации.
,- выясняем, что существует добровольная сертификация и обязательное подтверждение соответствия.
В свою очередь обязательное может проходить в двух формах: декларирование соответствия и обязательная сертификация.
По сути мы получаем 3 способа подтверждения соответствия:
— добровольная сертификация
— обязательная сертификация
— декларирование соответствия
Обязательную сертификацию рассматривать не будем: по данной теме она для нас интереса не представляет. Рассмотрим оставшиеся.
Добровольная сертификация
На данной форме не буду сильно акцентироваться, так как на данный момент толком не существует органов по сертификации (могу ошибаться). Единственная, которая приходит на ум — Газпромсерт, и та больше для использования продуктов внутри компании.
В соответствии с 21 статьей:
Статья 21. Добровольное подтверждение соответствия
1. Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, предварительным национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров.…
2. Система добровольной сертификации может быть создана юридическим лицом и (или) индивидуальным предпринимателем или несколькими юридическими лицами и (или) индивидуальными предпринимателями.
,- видно, что она больше используется для соответствия корпоративным стандартам.
Одно время было движение по созданию системы добровольной сертификации в разрезе защиты ПДн, но похоже толком дело не пошло.
Да и разница в трате времени и ресурсов по сравнению с обязательной сертификацией выходит незначительная (если вообще выходит).
Декларирование соответствия
Наиболее привлекательным может показаться следующий пункт закона:
ссылка на оригинал статьи http://habrahabr.ru/post/201124/
Добавить комментарий