В последнее время многие эксперты в области информационной безопасности (кибербезопасности) начинают писать о серьезном изменении рынка защиты информации и в России, и в мире. Изменение регуляторки в этой области, да и общая ситуация в мире говорят о сильном сдвиге рынка защиты информации в сторону отечественных решений.
Сложность получения сертификатов для средств «из-за океана», а также отказ иностранных фирм проводить более-менее серьезную сертификацию (ну, понимаем, про доступ к исходному коду) может помочь нашему рынку не только продавать больше, но улучшать собственные изделия и программные продукты.
Однако требования применять именно только сертифицированные системы не вполне точны. Сам регулятор неоднократно предлагал внимательней читать законы и находить более правильные решения.
Допустимо ли в случае добровольной аттестации информационных систем персональных данных применение для нейтрализации актуальных угроз безопасности средств защиты информации, прошедших процедуру оценки соответствия в иной, отличной от сертификации форме в соответствии с Федеральным законом от 27.12.2002 № 184-ФЗ «О техническом регулировании»?
Да.
В соответствии с частью 2 статьи 19 № 152-ФЗ обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных достигается применением средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия. То есть ИСПДн допускает применение СЗИ, прошедших процедуру оценки соответствия в любой форме, предусмотренной № 184-ФЗ «О техническом регулировании». И все.
Другое дело, что многие интеграторы почему-то упорно считают, что должна быть только сертификация. Про ГИСы я не говорю. Действительно, почему не проводить оценку соответствия средств защиты информации в форме испытаний средств защиты информации в рамках стадии «приемочные испытания системы защиты информации ИС»? Загадка.