воскресенье, 3 июля 2016 г.

Обязательные справочники


Итак, свершилось: с 1 июля вступили силу ряд статей ФЗ «О стандартизации в Российской Федерации» (162-ФЗ). Следовательно, с 1 июля документы по стандартизации «в отношении продукции (товаров, работ, услуг), используемой в целях защиты сведений, составляющих гос. тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа» применяются по принципу обязательности. Как это обычно бывает, после введения новой законодательной нормы возникает ряд вопросов
(которые, как это обычно бывает, неизвестно кому задавать):
1. Какие документы по стандартизации следует считать относящимися к  продукции, используемой в целях защиты сведений, составляющих ГТ или к информации ограниченного доступа? Ну, со стандартами, разработанными техническим  комитетом №362 «Защита информации», все ясно. А еще какие? Скажем, стандарты по электромагнитной совместимости? А по испытаниям? А по проектированию? Скорее всего, их тоже придется считать обязательными при выполнении работ по ИБ.
2. Как быть с международными стандартами по ИБ, которые введены в действие в РФ? Скажем, ИСО/МЭК серии 27000. Они что, тоже обязательны? Для всех? Любая организация теперь может управлять своей информационной безопасностью только так, как написано в этих ИСО/МЭК? Интересно будет посмотреть, особенно на объекты с гос. тайной, хе-хе.
3. А что теперь с менеджментом качества? Если кто-то решил управлять качеством мероприятий/услуг по ИБ, то нужно непременно внедрять ИСО 9001?? Или все-таки разрешат сделать по-своему? А у кого спрашивать разрешения?
4. Требования к аудиту и аудиторам по ИБ тоже, надо полагать, должны соответствовать международным стандартам?

Это, разумеется, не все вопросы, но перечислять их дальше особого смысла нет: внятного ответа от регуляторов ждать не приходится.
Замечу еще вот что: статься 4 ФЗ-162 говорит об обязательности не только стандартов, а документов по стандартизации. А к ним Закон относит:
-        национальный стандарт (в том числе основополагающий национальный стандарт);
-        предварительный национальный стандарт;
-        правила стандартизации;
-        рекомендации по стандартизации;
-        информационно-технические справочники.
Все это в сфере защиты информации теперь применяется в обязательном порядке. Обязательные справочники! ФСТЭК будет что проверять в ходе мероприятий по гос. контролю!

Отдельно хочется порадоваться за органы по аттестации, у которых теперь целых три обязательных формы аттестата соответствия, и  все три разные. Какую форму не выбери – все равно могут сказать, что неправильно: «не по ГОСТ».

Комментариев нет:

Отправить комментарий