Rambler's Top100
Блоги Алексей ЛУКАЦКИЙ

Ответ Минкомсвязи про требование сертификата ФСТЭК на средства защиты при включении в реестр отечественного ПО

  29 апреля 2016 Страница персоны

Пока идет форум директоров по ИБ я решил не публиковать запланированную заметку с обзором средств моделирования угроз; опубликую что-нибудь попроще. Это будет ответ Минкомсвязи, полученный одним из стартапов по ИБ, с которым я познакомился на тусовке ФРИИ, на вопрос о необходимости получения сертификата ФСТЭК на решения по защите конфиденциальной информации для включения продукта в реестр отечественного ПО.

Как вы помните, действующая нормативная база вполне определенно говорит, что средства защиты конфиденциальной информации, подаваемые на включение в реестр, должны иметь сертификат ФСТЭК. Мы уже разбирали эту ситуацию и хотя со мной ряд экспертов, представляющих отечественных производителей, спорил, что сертификат не требуется и "ваще это все фигня, эти ваши сертификаты ФСТЭК", со временем выяснилось, что сертификат все-таки нужен. Это вытекает из письма Министра Никифорова от 15 марта 2016 года, но... вот тут-то и проявляется самое интересное. Экспертный совет при Минкомсвязи убедил министра, что выполнять написанный же министерством и утвержденный Правительством нормативный акт можно не целиком. И министр с этим согласился! Это просто феерия какая-то.

Несмотря на требования наличия сертификата ФСТЭК на средство защиты, в письме говорится, что заказчики сами должны устанавливать требования по защите информации, в том числе и самостоятельно выбирать, будут они применять сертифицированные средства защиты или нет. Кто знаком с нормативной базой в области защиты информации, тот прекрасно знает, что никакой самостоятельности у государственных и муниципальных заказчиков нет - средство защиты обязано иметь сертификат ФСТЭК. Это написано в ФЗ-149, это же написано и в 17-м приказе ФСТЭК. Но Минкомсвязь, видимо, не знакомо с этими нормами и посему оно выпускает абсолютно безграмотное разъяснение за подписью министра.

При этом эксперты Экспертного совета защищают свою позицию тем, что "для попадания в реестр важно соблюдение критериев “отечественности”, а не наличие лицензий внутренних контролирующих органов" (имеется ввиду все-таки сертификат, а не лицензия) и "Сертификация не имеет прямого отношения к определению происхождения софта. Она занимает значительное время и требует существенных затрат. Эти факторы не должны затруднять работу экспертного совета и процедуру формирования Реестра". Я прекрасно понимаю чем это обусловлено (и все понимают), но так откровенно забивать болт на требования Постановления Правительства?.. Хотя бы внести изменения в его текст, чтобы придать всей этой конструкции хоть какую-то легитимность...

Я еще тогда говорил, что этот реестр - это профанация, а не импортозамещение и обеспечение национальной безопасности. Требований лицензии ФСТЭК на разработку и сертификата на разработанные средства защиты хоть как-то укладывались хотя бы во вторую составляющую. И вот теперь и на ней поставили крест. Один плюс - стартапам по ИБ теперь не надо заморачиваться получением сертификатов ФСТЭК, чтобы попасть в реестр Минкомсвязи (хотя этот сертификат понадобится при покупке решений заказчиками в рамках госзакупок).

И вот видя такую неразбериху, один из стартапов написал запрос в Минкомсвязь с просьбой разъяснить эту ситуацию и четко ответить - нужен сертификат или нет. Мне всегда казалось, что я могу выстроить цепочку рассуждений наших госорганов, готовящих официальные ответы на запросы граждан. И каждый раз регуляторы преподносят сюрпризы. Так оказалось и на этот раз. Итак ответ Минкомсвязи оказался следующим:

Если вкратце, то суть такова - "в одном месте наших правил сертификат требуется, в другом нет, а что вам делать, мы и сами не знаем - решайте сами".

Из блога Алексея Лукацкого

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.