Dmitry
Участник
 Офлайн
Пол: 
Сообщений: 630
Я не юрист, и даже не сын его.
|
 |
« Ответ #3 : 22 Октября 2006, 16:59:50 » |
|
Сразу оговорюсь, что 1) не являюсь юристом, 2) некоторое представление о данной проблематике имею, но в последнее время это больше хобби, чем служебная необходимость, 3) с требованиями к гос. организациям знаком существенно меньше.
Ранее, требование обязательной сертификации для гос. организаций содержалось в ст.19 "Закона об информации...". В новой версии закона это требование прямо не установлено.
Вместо этого есть пункт 5. ст 16:
"Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям."
При этом "Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", утвержденное приказом директора ФСБ России N66 от 9 февраля 2005 года, не содержит ни слова о сертификации (в отличие от своей предыдущей версии, выпущенной еще ФАПСИ).
Что интересно, что в этом положении имеется следующий пункт:
"СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом Федеральным законом от 27 декабря 2002 года N 184-ФЗ «О техническом регулировании»."
Однако, упомянутый закон, в статье п.1 статьи 7. "Содержание и применение технических регламентов" содержит следующий список:
"Технические регламенты с учетом степени риска причинения вреда устанавливают минимально необходимые требования, обеспечивающие:
безопасность излучений;
биологическую безопасность;
взрывобезопасность;
механическую безопасность;
пожарную безопасность;
промышленную безопасность;
термическую безопасность;
химическую безопасность;
электрическую безопасность;
ядерную и радиационную безопасность;
электромагнитную совместимость в части обеспечения безопасности работы приборов и оборудования;
единство измерений."
Очевидно, информационная безопасность, как отдельный пункт в перечень не входит, хотя, конечно, можно предположить, что регламент, имеющий отношение к ядерной безопасности, может содержать требования по защите соответствующей информации.
Ну а что касается получения разъяснений в соответствующих органах, мне в свое время достаточно уверено отвечали, что получать разрешение на ввоз ОС Windows, не требуется в соответствии Постановление правительства 691 от 23.09.2002, однако на тот же вопрос относительно Sun Solaris были уже менее уверены в положительном ответе, а о Linux не смогли сказать ничего. Наилучший способ - письменный запрос. По крайней мере будет бумажка, которой при случае можно будет защищать жизненно важный орган.
|
