11.1.17

А ФСТЭК все молчит...

1-го декабря вступили в силу новые правила ФСТЭК, согласно которым, все новые разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать новым требованиям ФСТЭК, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. №9.  При этом в информационном сообщении ФСТЭК от 28 апреля 2016 г. N 240/24/1986 "Об утверждении требований к межсетевым экранам" прямо сказано, что "межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям". Все бы ничего, но тут мы сталкиваемся с реальностью, которая далеко от того, что думали во ФСТЭК, выпуская свои требования. А реальность такова, что органы по аттестации отказываются аттестовывать системы, в которых используются МСЭ с действующим сертификатом, но выданным по старым требованиям. Мотивируют они это тем, что ввиду отсутствия четкой и явной позиции регулятора рисковать своей лицензией и правом проводить аттестации они не готовы.

Учитывая, что на момент написания этой заметки в России только один МСЭ был сертифицирован по новым требованиям, а денег на покупку новых МСЭ или сертификацию имеющихся никто в бюджет не закладывал, то ситуация складывая тупиковая. И что делать пока непонятно. Я в начале декабря звонил во ФСТЭК с просьбой прокомментировать ситуацию и мне ответили, что волноваться не надо, что соответствующее информационное сообщение готовится и скоро все наладится. Но вот прошло уже почти полтора месяца, а воз и ныне там. 

И судя по активности в социальных сетях многие госорганы и муниципалы уже начинают задавать неприятные вопросы и чуть ли не обвинять регулятора в лоббировании интересов единственного "доверенного" поставщика. Я не настолько наивен, чтобы подозревать такое, но проблема явно требует участия регулятора. И проблема не рассосется сама собой, так как есть немалое количество продуктов, которые производители не планируют повторно сертифицировать по новым требованиям, так они выпустили уже новые версии своих решений и активно продвигают их. Аттестационные компании же выжидают - либо явно отказывая клиентам в аттестации, либо предлагая выдавать аттестат со сроком действия равным сроку действия сертификата на МСЭ, что не устраивает заказчиков, которые не готовы потом повторно платить за аттестацию.

А ФСТЭК все молчит...

7 коммент.:

Unknown комментирует...

Алексей, приветствую!

А если вот такую позицию рассмотреть:
Аттестация проводится на соответствие требованиям нормативно-правовых актов, в частности - требований приказа ФСТЭК №17/21, в актуальной редакции упоминаются новые профили, но есть явные ссылки на классы по РД МЭ. С такой позиции возможно аттестовать информационные системы с применением МЭ, сертифицированных по классам РД МЭ, но возникает сложность аттестации информационных систем с применением МЭ, сертифицированных по новым требованиям, но не сертифицированных по старым, так?

Александр Германович комментирует...

Проблема явно надуманная и заставляет усомниться в компетентности таких органов. Есть СЗИ, оно имеет действующий сертификат. В ходе аттестации именно в этом и нужно убедиться, остальное - выдумки.
Такая же история была когда-то с антивирусами, которые до 2012 г сертифицировались по ТУ. По истечении сроков действия сертификатов их меняли, вот и все.

Tomas комментирует...

см. п. 26 17 Приказа ФСТЭК, там нужно для ГИС К1, К2, К3 применять МЭ не ниже 3 класса, где тут сказано, что надо МЭ по новым требованиям ФСТЭК, а?
ФСТЭК ни 17, ни 21 Приказы не поменяла, а там указаны МЭ по старым требованиям...
Так что на ровном месте органы аттестующие создали для себя проблему заработать денег.

Unknown комментирует...

Такое ощущение, что во ФСТЭК новый принцип межсетевого экранирования придумали... Действительно, почему нельзя детализировать функционал и позволить операторам самим принимать решение подходит ли подтверждённый функционал под новые требования. И сделать модель наследования, в случае изменения требований к СЗИ.

Алексей Лукацкий комментирует...

Tomas - в феврале, если все пойдет нормально, выйдет новая версия 17-го приказа с учетом уже новых классов защиты

Алексей Лукацкий комментирует...

Андрей Коненков: такое было раньше, в первом четверокнижии. Это очень неудобно

Tomas комментирует...

Алексей, имхо, в 17 Приказе вообще не должно быть п.26 (кроме НДВ), потому что в приложении указано уже все требуемое для каждого из УЗ, к чему это еще: УЗ3 - будь любезен МЭ-3,СВТ-5... Это в РД к МЭ\СВТ должно быть написано какой класс для чего.
А поподробнее про изменения... :)