30.11.10

Как проверить работу консультанта по ПДн?

Когда-то я уже поднимал вопрос о том, как выбрать консультанта по ПДн. На днях на bankir.ru подняли вопрос о том, как принять проделанную таким консультантом работу? На мой взгляд надо встать на место каждого из трех проверяющих (РКН, ФСТЭК и ФСБ) и по каждому пункту ФЗ-152, четырех постановлений Правительства, "Приказа трех", Приказа 58, двух документов ФСБ или СТО ответить на 6 вопросов:

  1. Вы выполняете этот пункт ФЗ-152, ПП-781/687/512, Приказа трех, Приказа 58 и методических рекомендаций ФСБ или СТО?
  2. Как вы докажете, что выполняете этот пункт?
  3. Что вы делаете для выполнения этого пункта?
  4. Как и где это регламентируется?
  5. Если вы не пополняете этот пункт, то почему?
  6. Кто отвечает за выполнение данного пункта?
Например, типичная проблема при проверке - уведомление РКН.
  1. Вы уведомили РКН? Да/нет?
  2. Ответ РКН о регистрации в реестре оператора ПДн или квитанция об отправке заказного письма в РКН.
  3. Копия уведомления в РКН и документация, которая легла в основу данных для уведомления.
  4. Данный пункт не регламентируется.
  5. Если вы не уведомили РКН, то каковы у вас были основания для этого? Вы попадаете в исключения, указанный в 22-й статье?
  6. Приказ о создании комиссии или назначении ответственного за решение вопросов приведения в соответствие ФЗ-152.

29.11.10

СТО Банка России опять меняют ;-)

В СТО Банка России до конца года планируют включить следующие документы (в статусе РС), которые сейчас в разработке:
  • положение о назначении и разделении ролей
  • положение о контроле и надзоре
  • положение об использовании СКЗИ (по аналогии с РС 2.3, сделанной по инициативе ФСТЭК)
  • положение по классификации активов.

26.11.10

Одобрен проект концепции инновационного развития отрасли телекоммуникаций и информационных технологий

19 ноября на заседании комиссии по федеральной связи и технологическим вопросам информатизации был представлен проект Концепции инновационного развития отрасли телекоммуникаций и информационных технологий. Мне довелось поучаствовать в разработке этого проекта и я могу тезисно набросать ключевые вопросы по ИБ, которые попали в Концепцию:
  1. Саморегулирование отрасли
  2. Повышение доверия пользователей к использованию ИКТ за счет защиты персональных данных онлайн, установки минимальных требований по защите к поставщикам услуг, устранение уязвимостей инфраструктуры, повышение осведомленности пользователей и обучением персонала.
  3. Защита интеллектуальной собственности
  4. Противодействие использованию ИКТ для противоправной (в основном террористической и экстримистской) деятельности
  5. Защита информации в информационно-телекоммуникационных сетях за счет единой системы идентификации и аутентификации, а также развитие судебной системы в части использования электронных доказательств
  6. Защита телекоммуникационной и информационной инфраструктуры за счет создания центров реагирования на инциденты, рост влияния России в вопросах управления Интернет и международного диалога
  7. Ориентация на международные стандарты
  8. Электронная цифровая подпись.
Правда, это не совсем то, что было в первоначальной версии проекта Концепции. Она была более детальная; особенно в части информационной безопасности, где были описаны и проблемы и пути их решения. В текущем виде, который был одобрен на комиссии, многие вещи исчезли ;-(

Посмотрим, что теперь с этой Концепцией будет и какие нормативные акты во ее  исполнение будут приниматься.

    25.11.10

    Об оценке соответствия средств защиты

    Задался я тут целью провести исследование на тему надо ли все-таки сертифицировать средства защиты или нет. И вот что, вкратце, у меня получилось. В существующей нормативной базе существует два примера упоминания вопросов сертификации - прямое и косвенное. Прямое, например, есть в совместном приказе ФСТЭК и ФСБ, в Указе Президента 351 или в пресловутом Постановлении Правительства 330. В них прямо говорится, что средства защиты должны быть сертифицированы ФСБ или ФСТЭК. Косвенное упоминание есть в Постановлении Правительства № 424, в Приказе ФСТЭК № 58, в СТО Банка России (РС 2.3) и т.п. В них говорится о том, что системы защиты должны пройти оценку соответствия в установленном порядке.

    Согласно ФЗ-184 "О техническом регулировании" установлено 3 формы подтверждения соответствия - декларация соответствия, обязательная и добровольная сертификация. Декларировать нам не на что - техрегламента по ИБ так и не появилось. Остается два оставшихся варианта - добровольная и обязательная сертификация. С обязательной все ясно - она должна быть определена Правительством или Президентом (но не регулятором и поэтому приказ ФСТЭК № 199 "не у дел"). По обязательной сертификации средств защиты у нас несколько постановлений, как минимум, ПП-608 "О сертификации средств защиты информации". С ним вроде бы все ясно - оно четко говорит, что обязательной сертификации у нас подлежат только средства защиты гостайны. Все остальное носит добровольный характер. И вот тут начинается самое интересное.

    Оказывается системы сертификации Федеральной службы по техническому и экспортному контролю (регистрационный номер № РОСС RU.0001.01БИ00), Федеральной службы безопасности (регистрационный номер № РОСС RU.0001.030001), Министерства обороны Российской Федерации (регистрационный номер № РОСС RU.0001.01ГШ00) и у Службы Внешней Разведки (регистрационный номер № РОСС RU.0001.01СЗ00) являются системами добровольной сертификации средств защиты. Именно так они зарегистрированов в Ростехрегулировании, который в России и отвечает за регистрацию систем добровольной сертификации и регулировании вопросов обязательной оценки соответствия.

    Также к системам добровольной сертификации средств защиты информации относятся:
    • система добровольной сертификации ГАЗПРОМСЕРТ. Она создана ОАО «Газпром» приказом от 06 февраля 1999 г. № 10 (регистрационный № РОСС RU.3022.04ГО00 от 17 июля 2000 г.). Ориентирована только на Газпром и его дочерние предприятия.
    • система добровольной сертификации «АйТиСертифика». Она создана ЕВРААС (регистрационный № РОСС RU.М089.04ИТ00). По информации создателей данной системы ее сертификаты признаются ФСТЭК России и Федеральной службой безопасности.
    • система добровольной сертификации Ecomex (регистрационный № РОСС RU.З680.04УЭТ0). Данная система сертификации создана в сентябре 2010 года в связи с чем широкого распространения она пока не получила. Я вообще ее в Интернете, кроме сайта Ростехрегулирования, не нашел.

    Иными словами уйти от сертификации нам пока не удается (если это прямо не разрешено отраслевым регулятором, как, например, ЦБ в СТО разрешил для защиты АБС не использовать сертифицированные средства защиты). Вопрос в том, что сертификация средств защиты не должна быть обязательной, и не обязательно по линии ФСТЭК или ФСБ ;-) Вы можете провести ее, например, в "Газпромсерте" или в "АйТиСертифике". Законодательство дает вам такое право (как, собственно, и сама ФСТЭК своей формулировкой об "оценке соответствия в установленном порядке"). А системы сертификации, отличные от, например, ФСТЭКовской, должны быть выгоднее. Иначе они не смогут конкурировать с регуляторами.

    Вот такой расклад получается... на данный момент.

    24.11.10

    СоДИТ перевел ISO 15408:2009

    Союз ИТ-директоров России перевел первую часть новой версии стандарта оценки ИТ с точки зрения информационной безопасности - ISO/IEC 15408:2009. Это всем известные "Общие критерии", которые приняты в качестве ГОСТа и в России, но в своей предыдущей, второй версии. Нынешняя же версия - самая последняя. Пока переведена только первая часть, но остальные на подходе.

    Об этом переводе было объявлено на 3-м Форуме директоров по ИБ, прошедшем в конце октября в Москве Борисом Славиным, председателем правления СоДИТ. Несмотря на обещание выложить этот стандарт на сайте СоДИТ или на Global CIO, пока я там этого текста не увидел. Но я получил разрешение у Бориса выложить текст стандарта у себя в блоге, что и делаю.

    ISO IEC 15408-2009-1 by Russian

    23.11.10

    Регулирование криптографии - финальная версия карты

    Несмотря на почти полное отсутствие комментариев и конкретных предложений (исключая Ригеля), я довел документ до ума и финализировал его. Надеюсь будет полезным в работе.

    PS. Возможно я плохо искал, но я не нашел документов, регламентирующих сертификацию СКЗИ для защиты конфиденциальной информации. По гостайне есть приказ ФСБ о создании системы сертификации. А вот по конфиденциалке такого документа нет... Или я плохо искал?

    Russia Crypto Regulation

    22.11.10

    И вновь о выборе паролей

    Полтора года назад я уже обращался к теме выбора паролей и вот новый виток привел меня туда же ;-) Microsoft недавно опубликовал свое исследование, в котором предложил выбирать пароли не как захочется, а используя статистику уже выбранных пользователями паролей. Иными словами предлагается автоматически исключать популярные пароли, даже если они соответствуют требованиям сложности, часть реализованным в различных системах и приложениях.

    Другое интересное исследование изучает вопросы использования энтропии, как метрики для правильного выбора паролей. Идея этого исследования проста и понятна. Многие политики выбора паролей рекомендуют (требуют) использования в пароле не только букв, но цифр и специальных символов; букв в разных регистрах и т.д. Насколько это повышает защищенность пароля? Влияет ли длина пароля на его стойкость к взлому? Влияет ли на защищенность системы использование список запрещенных к использованию паролей? Именно ответу на эти вопросы и посвящено исследование сотрудников университета во Флориде, компаний Redjack и Cisco IronPort.

    19.11.10

    Измерение экономической эффективности ИБ

    В среду читал на InfoSecurity Russia доклад на тему изменения экономической эффективности ИБ. И хотя частично я эти слайды уже выкладывал, я решил их повторить, т.к. примерно половина слайдов там новая.



    ЗЫ. Аналогичную тему я поднимал на CiscoExpo, но там я экономику показывал применительно к оборудованию Cisco. Презентация (как и все остальные с CiscoExpo) выложены тут.

    18.11.10

    Законопроект о НПС внесен в ГосДуму

    Правительство в понедельник внесло в Госдуму законопроект "О национальной платежной системе" и "О внесении изменений в некоторые законодательные акты Российской Федерации, а также "О признании утратившими силу Федерального закона "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами" и некоторых положений законодательных актов Российской Федерации в связи с принятием Федерального закона "О национальной платежной системе". Что он принесет рынку ИБ? Т.к. он не сильно по "нашей" теме меняется последние полгода (да и в его обсуждении безопасники почти не принимают участие), то можно говорить, что он в таком виде и дойдет по подписания у Президента.

    Итак, что такое НПС? Согласно законопроекта - это "совокупность операторов по переводу денежных средств, включая операторов электронных денег, платежных агентов (субагентов), операторов платежных систем, операторов услуг платежной инфраструктуры, участников финансовых рынков, органов федерального казначейства и организаций федеральной почтовой связи при осуществлении ими деятельности, связанной с переводом денежных средств (субъекты национальной платежной системы)". Сразу хочу отметить, что в НПС входят не только банки, но и, например, почтовые отделения, операторы по переводу электронных денег (тот же Яндекс.Деньги или WebMoney), пенсионные фонды, профессиональные участники рынка ценных бумаг, а также любая другая организация или индивидуальный предприниматель, которая принимает от физлиц наличные деньги. Т.е. НПС - это масштабная система по количеству участников.

    "Наша" тема описана в трех статья - 18-ой, 19-ой и 20-ой. 18-я требует, чтобы все участники НПС, исключая субагентов, расчетные, клиринговые и операционные центры, соблюдали требования по обеспечению банковской тайны в соответствие с требованиями закона "О банках и банковской деятельности". При этом требования соблюдения БТ для указанных исключений даны во втором законопроекте (см.ниже).

    19-я статья (тот же номер у статьи по защите в ФЗ-152) говорит об обеспечении защиты информации платежной системы. Требования по защите устанавливает Правительство, а контроль и надзор за ними осуществляют ФСБ и ФСТЭК. Эти требования обязательны для всех субъектов НПС. Также для них обязательны требования (при переводе денежных средств), устанавливаемые ЦБ. Эти требования должны быть согласованы с ФСТЭК и ФСБ, а контроль за их исполнением ложится на ЦБ.

    Со стороны Правительства, ФСТЭК и ФСБ пока никаких требований по безопасности НПС не было (хотя слухи о том, что ФСТЭК разрабатывает документ по защите платежных систем ходят). А вот то, что сделает ЦБ примерно понятно (хотя и не финально). Требования по защите прописаны в СТО, который уже согласован с ФСТЭК и ФСБ (по проекту ПДн), и ЦБ врядли будет писать что-то новое. Хотя... мало ли что нас ждет в будущем.

    Дополнительно к ст.19, в ст.20 для операторов платежных систем устанавливается требование наличия системы управления рисками в соответствие с нормативными требованиями ЦБ (скорее всего речь пойдет о 76-Т, Базель II, 197-Т, 36-Т и т.п.).

    Интересно, что участники НПС могут подключаться к т.н. трансграничной платежной системе (Visa, AmEx, MasterCard и т.п.), но при выполнении последней ряда условий, в т.ч. и всех требований ФЗ об НПС. Это значит, что Visa должна будет соблюдать требования ФСТЭК и ФСБ по защите информации о денежных средствах. Интересно будет посмотреть, как будет реализовано данное требование.

    За невыполнение данных требований предусмотрено несколько видов наказания:
    • приостановление деятельности (для клиринговых и расчетных центров)
    • исключения из реестра операторов платежной системы (для оператора платежной системы)
    • административная ответственность
    Закон вступает в силу по истечение года с момента его опубликования.

    Второй закон о внесении изменений содержит много разных поправок в действующие законы, но по "нашей" части изменения касаются только ст.26 закона "О банках и банковской деятельности" (расширяя список лиц, обязанных соблюдать банковскую тайну) и в КоАП добавляется новая статья 15.26.1 "Нарушение законодательства о национальной платежной системе". Штраф до 200 тысяч рублей распространяется только на операторов платежных систем, операционные и клиринговые центры.

    ЗЫ. Достаточно интересно читать законопроект, в контексте работы Visa, MasterCard и т.п. платежных систем. Исходя из текста законопроекта они становятся участниками НПС, но... обязаны будут строить процессинг здесь, т.к. законом будет запрещена передача информации зарубеж по переводам денег (или доступ к процессингу из-за рубежа). Исключений только два - резервное хранение данных заграницей или передача данных только платежной карте и только в объеме суммы, валюты и PAN/CVV (ФИО и адрес клиента передавать запрещено).

    17.11.10

    Незамеченное изменение ФЗ-152

    Совершенно незамеченным прошло изменение в ФЗ-152, проведенное ст. 23 Федерального закона от 27.07.2010 N 227-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об организации предоставления государственных и муниципальных услуг" (спасибо коллегам на bankir.ru).

    Дословно ст.23 звучит так: " Внести в статью 9 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451) следующие изменения:

    1) в части 4:

    а) абзац первый изложить в следующей редакции:

    "4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись письменному согласию субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой подписью или в случаях, предусмотренных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами, иным аналогом собственноручной подписи. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:";

    б) дополнить пунктом 7 следующего содержания:

    "7) собственноручную подпись субъекта персональных данных.";

    2) дополнить частью 4.1 следующего содержания:

    "4.1 . Порядок получения согласия субъекта персональных данных в форме электронного документа на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, определяется Правительством Российской Федерации.
    "

    Это изменение, кстати, в очередной раз показывает, что уполномоченный орган в лице РКН совершенно не в курсе про то, что письменное согласие может быть не только на бумаге. Да и ЭЦП рекомендуется, но не является единственным механизмом. Достаточно описать механизм АСП (аналог собственноручной подписи) и вы можете подписывать им сообщения электронной почты, получая тем самым письменное согласие... хотя оно и не нужно во многих случаях - можно обойтись устной или конклюдетной формой.

    16.11.10

    Изменение законодательства по контролю в области ПДн

    Правительство РФ внесло в ГД законопроект № 454517-5 "О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам осуществления государственного контроля (надзора) и муниципального контроля".

    В части ПДн предложена ст.53, в которой предлагаются следующие ключевые изменения:
    • четко указывается, что контроль и надзор осуществляется согласно ФЗ-294
    • предметом проверки является соблюдение только обязательных требований
    • плановая проверка может осуществляться только по одному основанию - истечение 3-х лет с государственной регистрации оператора или последней проверки
    • внеплановые проверки осуществляются только по истечению выданного предписания, а также поступления в РКН обращения субъектов о нарушении их прав в области обработки ПДн  или в результате наличия поручения Президента или Правительства
    • внеплановая проверка должна быть согласована с прокуратурой
    • срок проверки - не более 10-ти дней (раньше было 20)

    15.11.10

    Сравнение подходов к защите ПДн в России и в Европе

    Как-то я уже делился документом по описанию подходов к защите ПДн в Европе, любезно предоставленным компанией Яндекс. За это время я познакомился еще с двумя аналогичными работами - отдельным документом, сделанным в рамках НИР "Тритон", и результатами работы рабочей группы страховщиков, занимающейся выработкой собственных требований по защите прав субъектов ПДн. И вот новый обзор. Его готовили три известных эксперта в области ИБ и ПДн - Алексей Волков, Евгений Царев и Александр Токаренко. Мне этот обзор понравился больше всех. Не только с точки зрения исследования, но и с точки зрения русского языка ;-) Читать было интересно и полезно.

    Начало здесь..., комментарии одного из авторов здесь...

    ЗЫ. Кстати, материалы конференции РКН, о которой я писал, выложены на сайте мероприятия.

    12.11.10

    Регулирование криптографии в одном месте

    Задался я тут целью свести все нормативные акты, регулирующие криптографию в России (исключая гостайну), в одном документе. Что и сделал, разделив нормативные акты по этапу жизненного цикла системы криптографический защиты - от ввоза и разработки до эксплуатации и вывоза. Собственно результат перед вами.

    Посмотрите, пожалуйста, критическим взглядом на сей документ. Что в нем не хватает? Как его сделать лучше? Что в нем лишнее? Я внесу все изменения и выложу затем финальный вариант для открытого использования.

    Russia Crypto Regulation

    11.11.10

    Что нас ждет в ближайшее время с точки зрения регулирования темы ПДн?

    На основании презентации по будущему регулированию в области ИБ сваял презу, ориентированную только на тему персданных. Я ее читал в Челябинске и решил выложить еще и тут. Собственно там ничего нового почти нет - кроме чуть более детальной информации по законопроекту Резника и изменениям в ФЗ "О техническом регулировании".

    10.11.10

    Алгоритм приведения себя в соответствие с ФЗ-152

    В Челябинске читал презентацию по алгоритму приведения себя в соответствие с требованиями ФЗ-152. Выкладываю. В основе этого алгоритма лежит результат работы рабочей группы АРБ/ЦБ.

    9.11.10

    Новый совместный приказ ФСТЭК / ФСБ

    31 августа 2010 года был принят (зарегистрирован в Минюсте 13 октября, опубликован 22 октября в "Российской газете", вступил в действие с 2 ноября 2010 года) совместный приказ ФСБ и ФСТЭК № 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования".

    Распространяется он на все федеральные государственные информационные системы, содержащие сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в Интернет (согласно Постановления Правительства от 24 ноября 2009 года № 953). Иными словами речь идет о сайтах госорганов.

    Данный приказ содержит требование обязательного использования антивирусов, межсетевых экранов и средств предотвращения вторжений, прошедших сертификацию в ФСБ (!).

    Интересна хронология событий по данному направление. Сначала был принять приказ ФСО от 7 августа 2009 года № 487, который требует в сегменте «Интернет» для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации использовать средства защиты (в т.ч. межсетевые экраны и системы предотвращения вторжений), сертифицированные ФСТЭК и ФСБ. При этом четкой регламентации (кто и что сертифицирует) указано не было.

    Двумя неделями позднее Минкомсвязь выпускает приказ от 25 августа 2009 года № 104, который требует применения сертифицированных в ФСБ средств предотвращения вторжений при их использовании в государственных информационных системах, содержащих сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательных для размещения в Интернет. При этом МСЭ должны иметь сертификат ФСТЭК.

    И вот новый приказ, который требует использовать для защиты сайтов госорганов средства, прошедшие сертификацию в системе ФСБ.

    Куда катится этот мир? Скоро ФСТЭК отдаст вообще всю свою сферу деятельности в ФСБ ;-( Наличие единой системы сертификации может быть и неплохо, если бы не сложности этой сертификации в ФСБ. Ни требований публичных нет, ни процедура нигде не описана... Полный вакуум...

    8.11.10

    Cisco запускает сертифицированное производство

    Очередное значимое для Cisco событие - запуск в России сертифицированного производства средств защиты на базе компании Kraftway. Несколько лет назад у нас уже был реализован такой проект и вот новый этап его развития. Учитывая возрастающую роль сертификации (все-таки изменения в ФЗ "О техрегулировани" пока не приняты и не реализованы на практике), такое событие не может не радовать ;-) Особенно государственные органы, для которых сертификация скорее всего останется и в будущем.

    3.11.10

    Отчет по мероприятию в Челябинске по ПДн

    Компания Аста-Информ пригласила меня на конференцию по персональным данным, где выступали также, из регуляторов, представители РКН, ФСТЭК и прокуратуры. Краткие тезисы по их выступлениям:
    • Роскомнадзор
      • Уведомление РКН обязательное. За отказ уведомления - ст.19.7 КоАП
      • Согласие только в письменной форме
      • Передача ПДн в коллекторские агентства - незаконно
      • Если ПДн передаются от оператора ПДн третьему лицу, то вся ответственность все равно лежит на операторе ПДн. Т.е. неявно, но институт обработчика все-таки РКН принимает.
    • ФСТЭК по УрФО
      •  Методические рекомендации ФСТЭК по УрФО будут перерабатываться с целью их актуализации
      • Операторам ПДн не надо лицензироваться, если не оказываются услуги по защите
      • На "тонких клиентах" антивирусы можно не использовать
    • Прокуратура
      • Основные нарушители ФЗ-152 - ЖКХ и ФМС
      • Задолженность в квитанциях ЖКХ характеризует имущественное положение субъекта ПДн (хотя скорее оно характеризует отсутствие имущественного положения)
      • Справки, которые ЖКХ выдают за деньги, незаконны (исходя из статьи 14 ФЗ-152)
      • Даже разглашение ПДн соседа по дому тоже является нарушением ФЗ-152 (хотя такие действия вообще к ФЗ-152 не имеют отношения)
      • Отказ ЖКХ в выдаче справок или выписок из лицевых счетов по причине задолженности незаконен (по ст.14).

    Единая терминология на уровне законодательства

    Упомянутый мной в июле законопроект №404643 "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "Об информации, информационных технологиях и о защите информации" 6-го октября прошел первое чтение в Госдуме.

    2.11.10

    Россия все-таки отказывается от обязательной сертификации средств защиты

    В октябре была зафиксирована целая порция изменений законодательства. Началось все с предложения Самарской Губернской Думы внести изменения в закон о гостайне, устранив проверочные мероприятия (перед допуском) в ряде случаев. Продолжилось все очередным законопроектом Аксакова о сдвиге сроков ст.25.3 ФЗ-152.

    Но мне больше всего понравился проект "О внесении изменений в Федеральный закон "О техническом регулировании" (в части ускорения интеграционных процессов по сближению законодательств государств-членов таможенного союза в рамках ЕврАзЭС и Европейским союзом, снижения технических барьеров к продукции впервые выпущенной в обращение, создания национального органа по аккредитации)". В этом законопроекте введено несколько небольших, но очень интересных фрагментов. Например, одним из принципов техрегулирования в России является не только "свобода выбора заявителем документов, применяемых для подтверждения соответствия продукции требованиям технических регламентов", но и "обеспечения условий для взаимного признания в Российской Федерации и в иностранных государствах - торговых партнерах Российской Федерации результатов подтверждения соответствия и результатов исследований (испытаний) и измерений". А это значит, что недалек тот день, когда в России начнут признавать "Общие критерии" и, например, нам, компании Cisco, не придется заново сертифицировать уже сертифицированные продукты по тем же самым критериям, но только в российской системе сертификации ФСТЭК.

    Второй ключевой момент заключается в том, что исключается требование об обязательном подтверждении соответствия продукции, на которую не распространяется действие технических регламентов и которая не включена в единый перечень продукции, подлежащей обязательной сертификации, и единый перечень продукции, подлежащей декларированию соответстви.Отмечу, что средства защиты информации (исключая гостайну) не включены в этот единый перечень и не подпадают под техрегламенты.

    1.11.10

    ФЗ-152 опять сдвигают?!

    Депутат Аксаков опять центре внимания - несмотря на критику Правительства и всех заинтересованных сторон, он предложил продлить мораторий на ст.25.3 ФЗ-152 - на срок до 1 января 2012 года. Мотивация простая - коммерческие организации не успевают и не имеют денег на выполнение требования ФСТЭК и ФСБ.