Хотелось бы еще пройтись касательно последнего требования Указа, который гласит, что с 1-го января 2025 все попавшие под Указ организации не смогут использовать средства защиты из недружественных государств, а также от иных организаций, которые прямо или косвенно подконтрольны таким государствам.

Отдельные депутаты необдуманно заявляют, что надо распространить эту норму не только на недружественные, но и вообще на все зарубежные средства защиты, включая пока еще молчащие китайские и израильские, а также вполне дружественные ближневосточные и южноамериканские. И многие заказчики, несмотря на слова Президента о том, что надо поддержать те немногочисленные иностранные компании, что еще остались в России, последуют стратегии «лучше перебдеть».

Обратите внимание, что указ говорит не о запрете закупки, а запрете использования. А это гораздо жестче требование.

Но важно другое. Что такое «средство защиты информации»? Если вспомнить определение из терминологического ГОСТ Р 50922-2006, то это «техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации«.

А закономерно ли использовать определение из ГОСТа?

Можно попробовать найти определение термина «средства защиты информации» в федеральном законодательстве. Тогда ситуация станет чуть лучше в контексте Указа, но она повлечет за собой гораздо более серьезные последствия, ведь согласно определениям в законе о гостайне (Закон РФ от 21.07.1993 №5485-1 «О государственной тайне») или в ПП-608 (Постановление Правительства РФ от 26.06.1995 №608 «О сертификации средств защиты информации») к последним можно относить только то, что имеет отношение к гостайне и более ничего.

«Средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации».

«Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации».

Стоп-стоп-стоп… А есть же 55-й приказ ФСТЭК (Приказ ФСТЭК России от 03.04.2018 №55 «Об утверждении Положения о системе сертификации средств защиты информации»), в котором дается такое определение: Продукция, используемая в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, являющейся государственным информационным ресурсом и (или) персональными данными, продукция, сведения о которой составляют государственную тайну (далее — средства защиты информации)».

Данное определение дано якобы в соответствие с ФЗ-184 «О техническом регулировании«, но в 5-й статье этого закона упоминание «продукции…» есть, а вот упоминания, что это средства защиты информации, нет. Да и ставить в один ряд ведомственный приказ и федеральный закон? Нууу, такое…

Вот и получается, что если следовать закону, то средства защиты информации — это только то, что касается гостайны.

ФСТЭК слишком расширительно стала толковать этот термин и это давняя история, которая тянется с 199-го приказа Гостехкомиссии 1995-го года. Там изначально была фраза о том, что обязательной сертификации подлежат только средства защиты гостайны (как до сих пор и написано в ПП-608), а в остальных случаях она носит добровольный характер. А все потому, что само определение объекта сертификации было очень узким.

Дискуссия о том, что пора бы уточнить этот термин, идет давно, но сейчас это определение поднимает целый ряд вопросов, которые придется решать. Например, возьмем шторку на веб-камеру, которая борется с видовыми утечками, — это ведь тоже средство защиты информации. И она должна быть с 1-го января 2025 года только отечественной (а они все производятся в Китае)! А в более широком смысле жалюзи на окнах? Это же тоже средства защиты. Как и замки на дверях. Да и вообще все, что с помощью чего можно реализовывать меры из 17/21/31/31/239 приказов ФСТЭК, ФСБ, Банка России и т.п.

А встроенные механизмы защиты информации в мобильную связь, например, смартфоны? А телевизионные приемники и встроенная в них защита сигнала? А как будут взаимодействовать отдельные российские госорганы с иностранцами (например, ФТС)? А АСУ ТП, которые у нас много где иностранные и там есть встроенные механизмы защиты? А СКЗИ в куче технологий? В конце концов, как будут отечественные коммерческие субъекты КИИ будут пользоваться браузерами, операционными системами, базами данных, сетевым оборудованием с встроенными механизмами защиты (они ведь относятся к средствам защиты согласно определению ФСТЭК)? Или за 2,5 года предполагается совсем отказаться от любого импорта? Вопросы, вопросы, вопросы…

Мне кажется, регуляторам пора уже определиться более четко с термином «средство защиты информации».

 

Источник: Бизнес без опасности

9 июня, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.12.2022
«Банк России выступает за запрет допуска криптовалют в регулируемую финансовую систему»
02.12.2022
В реестре российского ПО зарегистрирован новый программный продукт DosGate, защищающий ИТ-инфраструктуру компаний от DDoS-атак
02.12.2022
Корпоративные данные «Билайн» оказались в открытом доступе
02.12.2022
«… более устойчива и не подвержена внешним конъюнктурам с точки зрения обслуживания»
02.12.2022
«Из-за опасения попасть под санкции». Киргизия продолжает отказываться от «Мира»
01.12.2022
ЕЦБ: Биткоин нужно воспринимать как ничто
01.12.2022
Шифровальщик CryWiper атаковал системы российских госорганов
01.12.2022
Сервис LastPass снова попал под хак-атаку. Пароли клиентов целы
01.12.2022
«Это наиболее чувствительные данные для человека»
01.12.2022
Скамеры стали чаще звонить россиянам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных