Рубрикатор |
Блоги | Алексей ЛУКАЦКИЙ |
Ответ Минкомсвязи про требование сертификата ФСТЭК на средства защиты при включении в реестр отечественного ПО
29 апреля 2016 |
Пока идет форум директоров по ИБ я решил не публиковать
запланированную заметку с обзором средств моделирования угроз; опубликую
что-нибудь попроще. Это будет ответ Минкомсвязи, полученный одним из стартапов
по ИБ, с которым я познакомился на тусовке ФРИИ, на вопрос о необходимости получения
сертификата ФСТЭК на решения по защите конфиденциальной информации для
включения продукта в реестр отечественного ПО.
Как вы помните, действующая нормативная база вполне
определенно говорит, что средства защиты конфиденциальной информации,
подаваемые на включение в реестр, должны иметь сертификат ФСТЭК. Мы уже
разбирали эту ситуацию и хотя со мной ряд экспертов, представляющих
отечественных производителей, спорил, что сертификат не требуется и "ваще
это все фигня, эти ваши сертификаты ФСТЭК", со временем выяснилось, что сертификат
все-таки нужен. Это вытекает из письма
Министра Никифорова от 15 марта 2016 года, но... вот тут-то и проявляется самое
интересное. Экспертный совет при Минкомсвязи убедил министра, что выполнять
написанный же министерством и утвержденный Правительством нормативный акт можно
не целиком. И министр с этим согласился! Это просто феерия какая-то.
Несмотря на требования наличия сертификата ФСТЭК на средство защиты, в письме
говорится, что заказчики сами должны устанавливать требования по защите
информации, в том числе и самостоятельно выбирать, будут они применять
сертифицированные средства защиты или нет. Кто знаком с нормативной базой в
области защиты информации, тот прекрасно знает, что никакой самостоятельности у
государственных и муниципальных заказчиков нет - средство защиты обязано иметь
сертификат ФСТЭК. Это написано в ФЗ-149, это же написано и в 17-м приказе
ФСТЭК. Но Минкомсвязь, видимо, не знакомо с этими нормами и посему оно
выпускает абсолютно безграмотное разъяснение за подписью министра.
При этом эксперты Экспертного совета защищают свою позицию тем, что "для попадания в
реестр важно соблюдение критериев “отечественности”, а не наличие лицензий
внутренних контролирующих органов" (имеется ввиду все-таки сертификат, а
не лицензия) и "Сертификация не имеет прямого отношения к определению
происхождения софта. Она занимает значительное время и требует существенных
затрат. Эти факторы не должны затруднять работу экспертного совета и процедуру
формирования Реестра". Я прекрасно понимаю чем это обусловлено (и все
понимают), но так откровенно забивать болт на требования Постановления
Правительства?.. Хотя бы внести изменения в его текст, чтобы придать всей этой
конструкции хоть какую-то легитимность...
Я еще тогда говорил, что этот реестр - это профанация, а не импортозамещение и
обеспечение национальной безопасности. Требований лицензии ФСТЭК на разработку и
сертификата на разработанные средства защиты хоть как-то укладывались хотя бы
во вторую составляющую. И вот теперь и на ней поставили крест. Один плюс -
стартапам по ИБ теперь не надо заморачиваться получением сертификатов ФСТЭК,
чтобы попасть в реестр Минкомсвязи (хотя этот сертификат понадобится при
покупке решений заказчиками в рамках госзакупок).
И вот видя такую неразбериху, один из стартапов написал запрос в Минкомсвязь с
просьбой разъяснить эту ситуацию и четко ответить - нужен сертификат или нет.
Мне всегда казалось, что я могу выстроить цепочку рассуждений наших госорганов,
готовящих официальные ответы на запросы граждан. И каждый раз регуляторы
преподносят сюрпризы. Так оказалось и на этот раз. Итак ответ Минкомсвязи
оказался следующим:
Если вкратце, то суть такова - "в одном месте наших правил сертификат требуется, в другом нет, а что вам делать, мы и сами не знаем - решайте сами".
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.