Хотелось бы еще пройтись касательно последнего требования Указа, который гласит, что с 1-го января 2025 все попавшие под Указ организации не смогут использовать средства защиты из недружественных государств, а также от иных организаций, которые прямо или косвенно подконтрольны таким государствам.
Отдельные депутаты необдуманно заявляют, что надо распространить эту норму не только на недружественные, но и вообще на все зарубежные средства защиты, включая пока еще молчащие китайские и израильские, а также вполне дружественные ближневосточные и южноамериканские. И многие заказчики, несмотря на слова Президента о том, что надо поддержать те немногочисленные иностранные компании, что еще остались в России, последуют стратегии «лучше перебдеть».
Обратите внимание, что указ говорит не о запрете закупки, а запрете использования. А это гораздо жестче требование.
Но важно другое. Что такое «средство защиты информации»? Если вспомнить определение из терминологического ГОСТ Р 50922-2006, то это «техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации«.
А закономерно ли использовать определение из ГОСТа?
Можно попробовать найти определение термина «средства защиты информации» в федеральном законодательстве. Тогда ситуация станет чуть лучше в контексте Указа, но она повлечет за собой гораздо более серьезные последствия, ведь согласно определениям в законе о гостайне (Закон РФ от 21.07.1993 №5485-1 «О государственной тайне») или в ПП-608 (Постановление Правительства РФ от 26.06.1995 №608 «О сертификации средств защиты информации») к последним можно относить только то, что имеет отношение к гостайне и более ничего.
«Средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации».
«Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации».
Стоп-стоп-стоп… А есть же 55-й приказ ФСТЭК (Приказ ФСТЭК России от 03.04.2018 №55 «Об утверждении Положения о системе сертификации средств защиты информации»), в котором дается такое определение: Продукция, используемая в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, являющейся государственным информационным ресурсом и (или) персональными данными, продукция, сведения о которой составляют государственную тайну (далее — средства защиты информации)».
Данное определение дано якобы в соответствие с ФЗ-184 «О техническом регулировании«, но в 5-й статье этого закона упоминание «продукции…» есть, а вот упоминания, что это средства защиты информации, нет. Да и ставить в один ряд ведомственный приказ и федеральный закон? Нууу, такое…
Вот и получается, что если следовать закону, то средства защиты информации — это только то, что касается гостайны.
ФСТЭК слишком расширительно стала толковать этот термин и это давняя история, которая тянется с 199-го приказа Гостехкомиссии 1995-го года. Там изначально была фраза о том, что обязательной сертификации подлежат только средства защиты гостайны (как до сих пор и написано в ПП-608), а в остальных случаях она носит добровольный характер. А все потому, что само определение объекта сертификации было очень узким.
Дискуссия о том, что пора бы уточнить этот термин, идет давно, но сейчас это определение поднимает целый ряд вопросов, которые придется решать. Например, возьмем шторку на веб-камеру, которая борется с видовыми утечками, — это ведь тоже средство защиты информации. И она должна быть с 1-го января 2025 года только отечественной (а они все производятся в Китае)! А в более широком смысле жалюзи на окнах? Это же тоже средства защиты. Как и замки на дверях. Да и вообще все, что с помощью чего можно реализовывать меры из 17/21/31/31/239 приказов ФСТЭК, ФСБ, Банка России и т.п.
А встроенные механизмы защиты информации в мобильную связь, например, смартфоны? А телевизионные приемники и встроенная в них защита сигнала? А как будут взаимодействовать отдельные российские госорганы с иностранцами (например, ФТС)? А АСУ ТП, которые у нас много где иностранные и там есть встроенные механизмы защиты? А СКЗИ в куче технологий? В конце концов, как будут отечественные коммерческие субъекты КИИ будут пользоваться браузерами, операционными системами, базами данных, сетевым оборудованием с встроенными механизмами защиты (они ведь относятся к средствам защиты согласно определению ФСТЭК)? Или за 2,5 года предполагается совсем отказаться от любого импорта? Вопросы, вопросы, вопросы…
Мне кажется, регуляторам пора уже определиться более четко с термином «средство защиты информации».
Источник: Бизнес без опасности