Форум ''Интернет и Право''
13 Декабрь 2018, 00:39:25 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1]   Вниз
  Печать  
Автор Тема: Нужна ли лицензия/аккредитация?  (Прочитано 6406 раз)
Сергей Середа
Тех.специалист
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1415


Говори, что думаешь, но думай, что говоришь (с)

286903819
WWW
« : 23 Апрель 2008, 12:04:31 »

Коллеги, приветствую!

Появился следующий вполне практический вопрос.

Есть система корпоративных стандартов некоего холдинга и есть испытательная лаборатория, которая проверяет информационные системы, используемые холдингом, на соответствие этим корпоративным стандартам.

В корпоративных стандартах перечислены минимальные требования к КИС, которые должны соблюдаться, если КИС используется в холдинге. Эти требования включают в себя и требования по информационной безопасности, которые должны соблюдаться программным обеспечением КИС.

Вот тут и возник вопрос. "Безопасники" компании выдали следующую сентенцию:
Цитировать
требования по безопасности это требования к защите от НСД, сертификацией средств защиты от НСД и аккредитацией соответствующих испытательных лабораторий занимаются ФСБ и ФСТЭК, значит испытательная лаборатория холдинга, чтобы получить право сертифицировать КИС на соответствие требований корпоративных стандартов холдинга, должна получить лицензию и аккредитацию ФСБ/ФСТЭК
. При этом они ссылаются на Постановление Правительства №333 от 15 апреля 1995 г. и на пункт 2.7. Временного положения по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники.

При этом требования корпоративных стандартов предъявляются к КИС, а вовсе не к средствам защиты от НСД и сертифицируются именно КИС, а не средства защиты от НСД. Да и требования там самы общие - по разделению доступа в соответствии с ролями пользователей, по обеспечению целостности данных и т.п., т.е. ничего близкого к требованиям к средствам защиты от НСД.

Моё мнение (я считаю, что никакой лицензии или аккредитации ФСБ/ФСТЭК испытательной лаборатории не требуется) по этому вопросу я дам в следующем сообщении. Буду очень признателен за аргументированные мнения по этому вопросу.
Записан
Сергей Середа
Тех.специалист
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1415


Говори, что думаешь, но думай, что говоришь (с)

286903819
WWW
« Ответ #1 : 23 Апрель 2008, 12:14:42 »

Моё мнение по озвученному выше вопросу:

===
ФСБ и ФСТЭК вовсе не обладают абсолютной монополией на сертификацию программных средств на соответствие требованиям информационной безопасности. Они действуют (и обязаны действовать) в рамках федеральных законов «О государственной тайне», «Об информации, информационных технологиях и о защите информации», «О лицензировании отдельных видов деятельности» и «О техническом регулировании». В соответствие перечисленным законодательным актам ФСБ и ФСТЭК занимаются лицензированием деятельности, связанной с технической или криптографической защитой информации, а также аккредитацией организаций, занимающихся сертификацией программных средств, предназначенных для работы со сведениями, составляющими государственную тайну.

В частности, ФСТЭК лицензирует только:

1.      Осуществление мероприятий и (или) оказание услуг (в сфере компетенции) в области защиты государственной тайны.
2.      Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части противодействия техническим разведкам).
3.      Проведение работ, связанных с созданием средств защиты информации, включающих разработку, производство, реализацию, установку, монтаж, наладку, испытания, ремонт или сервисное обслуживание.
4.      Деятельность по технической защите конфиденциальной информации.
5.      Деятельность по разработке и (или) производству средств защиты конфиденциальной информации.

(http://www.fstec.ru/_razd/_lico.htm)

В свою очередь, Центр по лицензированию, сертификации и защите государственной тайны ФСБ России лицензирует только:
1.      деятельность, связанную с использованием сведений, составляющих государственную тайну;
2.       деятельность по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны;
3.      деятельность, связанную с созданием средств защиты информации.
(http://www.fsb.ru/contact/center/lsz/lsz.html)


Нетрудно убедиться в двух вещах:

1.      ФСБ и ФСТЭК лицензируют только те виды деятельности, которые упомянуты в ФЗ «О лицензировании отдельных видов деятельности». А в соответствие с настоящим Федеральным законом обязательному лицензированию подлежат только следующие виды деятельности, касающиеся ИБ (сохранена нумерация из ФЗ):

5) деятельность по распространению шифровальных (криптографических) средств;
6) деятельность по техническому обслуживанию шифровальных (криптографических) средств;
7) предоставление услуг в области шифрования информации;
Крутой разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
9) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
10) деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
11) деятельность по технической защите конфиденциальной информации;
12) разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность;

2.      Деятельность по сертификации программных средств на соответствие любым требованиям информационной безопасности однозначно не входит в приведённый выше список видов деятельности, подлежащих обязательному лицензировании.


Следовательно, никаких лицензий для проведения сертификации соответствия требованиям ИБ обсуждаемой испытательной лаборатории не требуется. Это раз.

Что касается аккредитации. Согласно ФЗ «О техническом регулировании», в РФ существуют два вида сертификации соответствия: обязательная и добровольная. Никаких ограничений на область систем добровольной сертификации законом не установлено:
===
Статья 21. Добровольное подтверждение соответствия

1. Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров.

(в ред. Федерального закона от 01.05.2007 N 65-ФЗ)

Объектами добровольного подтверждения соответствия являются продукция, процессы производства, эксплуатации, хранения, перевозки, реализации и утилизации, работы и услуги, а также иные объекты, в отношении которых стандартами, системами добровольной сертификации и договорами устанавливаются требования.

Орган по сертификации:

осуществляет подтверждение соответствия объектов добровольного подтверждения соответствия;

выдает сертификаты соответствия на объекты, прошедшие добровольную сертификацию;

предоставляет заявителям право на применение знака соответствия, если применение знака соответствия предусмотрено соответствующей системой добровольной сертификации;

приостанавливает или прекращает действие выданных им сертификатов соответствия.

2. Система добровольной сертификации может быть создана юридическим лицом и (или) индивидуальным предпринимателем или несколькими юридическими лицами и (или) индивидуальными предпринимателями.

Лицо или лица, создавшие систему добровольной сертификации, устанавливают перечень объектов, подлежащих сертификации, и их характеристик, на соответствие которым осуществляется добровольная сертификация, правила выполнения предусмотренных данной системой добровольной сертификации работ и порядок их оплаты, определяют участников данной системы добровольной сертификации. Системой добровольной сертификации может предусматриваться применение знака соответствия.

===

Таким образом, обсуждаемой испытательной лаборатории не требуется и аккредитации ФСБ/ФСТЭК.

Вместе с тем, в РФ существуют различные системы сертификации соответствия требованиям ИБ. Например, «Система сертификации средств защиты информации № РОСС RU.0001.01БИ00» (ФСТЭК, http://www.fstec.ru/_doc/labs/_labs.xls), «Система сертификации средств защиты информации на соответствие требований к информационной безопасности» (Министерство Обороны РФ» и аналогичная система сертификации ФСБ. Но эти системы сертификации не имеют к внутренней для холдинга системе сертификации никакого отношения. Если будет принято решение о том, что испытательной лаборатории необходимо получить аккредитацию в этих системах сертификации, то будут проведены необходимые для этого мероприятия, но это дело совершенно добровольное (пока испытательная лаборатория проверяет соответствие КИС внутренним для холдинга требованиям информационной безопасности, но не трогает средства защиты информации).
Записан
Страниц: [1]   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2018. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).
Rambler's Top100

Произвольная ссылка:

Powered by SMF 1.1.21 | SMF © 2011, Simple Machines