Приказ ФСТЭК №31 (далее – приказ №31) в очередной раз обратил наше внимание на неоднозначный вопрос оценки соответствия СрЗИ, а точнее на вопрос есть ли жизнь без обязательной сертификации можно ли при обеспечении безопасности АСУ ТП применять средства защиты информации, прошедшие оценку соответствия в форме, отличной от обязательной сертификации.
В информационном сообщении ФСТЭК России касаемо приказа №31 (№240/22/2748 от 25 июля 2014 г.) по данному вопросу написано следующее:
«…формы оценки соответствия средств защиты информации установлены частью 3 статьи 7 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» (испытания, подтверждение соответствия (обязательная сертификация, добровольная сертификация, декларирование соответствия), приемка и ввод в эксплуатацию, иные формы)…
…в автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в форме, установленной заказчиком в техническом задании (далее -ТЗ) в соответствии с Федеральным законом «О техническом регулировании».
Однако, на практике в ТЗ Заказчик указывает все ту же пресловутую фразу:
«В системе защиты АСУ ТП должны применяться средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании».
Хорошо, мы можем использовать СрЗИ, прошедшие оценку соответствия в формах, отличных от знакомой и привычной обязательной сертификации. А что дальше? Посмотрим, что из себя представляют формы соответствия согласно их первоисточнику – Федеральному закону №184-ФЗ «О техническом регулировании» (далее – ФЗ №184):
Форма оценки соответствия |
Условия проведения оценки |
Государственный контроль (надзор) |
Проверка выполнения юридическим лицом или индивидуальным предпринимателем требований технических регламентов. |
Испытания |
Упоминается в ФЗ №184 как часть других форм оценки соответствия (обязательной сертификации, государственного контроля). |
Регистрация |
Упоминается лишь раз в ФЗ №184 при перечислении форм оценки соответствия. Об условия проведения в ФЗ №184 ничего не сказано. |
Добровольная сертификация |
Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, предварительным национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров. При этом добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между ним и органом по сертификации, который осуществляет подтверждение соответствия.Например, есть отраслевые системы добровольной сертификации, подтверждающие соответствие СрЗИ стандартам организации данной отрасли. |
Декларирование соответствия |
Подтверждение соответствия продукции требованиям технических регламентов, при этом качество продукции (услуг, персонала) подтверждается заявителям (изготовителем, продавцом) на основании собственных доказательств (с участием или без участия органа по сертификации и (или) аккредитованной испытательной лаборатории). |
Обязательная сертификация |
Осуществляется органом по сертификации на соответствие требованиям технических регламентов. Схемы сертификации, применяемые для сертификации, устанавливаются соответствующим техническим регламентом. |
Приемка и ввод в эксплуатацию объекта, строительство которого закончено |
Упоминается лишь раз в ФЗ №184 при перечислении форм оценки соответствия. Об условиях проведения в ФЗ №184 ничего не сказано.Может проводиться в соответствии с ГОСТ 34.603-92 и отраслевыми стандартами. |
Получается, что использовать сертифицированные СрЗИ (добровольная, обязательная сертификация) гораздо проще, чем СрЗИ, прошедшие оценку соответствия в какой-либо другой форме. И причины, как нам кажется, следующие:
–отсутствие четкого толкования условий и результата проведения оценки соответствия в других формах;
–устоявшаяся практика применения сертифицированных СрЗИ («чтобы регулятор не придирался»);
–отсутствие практики применения СрЗИ, прошедших оценку соответствия в других формах (следствие из предыдущего пункта).
Вот и получается, что, если Заказчик системы защиты АСУ не прописывает в ТЗ явную форму оценки соответствия СрЗИ, то остается проектировать СЗИ АСУ ТП с применением СрЗИ, прошедших оценку соответствия в форме обязательной сертификации или добровольной сертификации (если, например, требования нормативных документов конкретной отрасли по защите информации в АСУ ТП позволяют применять СрЗИ, имеющие сертификат соответствующей системы добровольной сертификации).