Роз’яснення ФСТЕК за 17-м та 21-м наказами

Але хочу додати і ложку дьогтю. Не всі питання лист дає відповіді. Почасти тому, що ФСТЕК не уповноважена трактувати законодавство, а там є низка нюансів, наприклад, із трактуванням терміну "державна інформаційна система". Почасти тому, що нові питання надто ускладнили б і обтяжили листа. А частково тому, що відповісти ФСТЕК на ці питання поки що нема чого. Ну от наприклад:

  • Варто б хоч якось пояснити принцип економічної доцільності і про те, чим керуватися при ухваленні рішення про недоцільність. Все-таки ця революційна вимога для ФСТЕК і її варто було б пояснити. Особливо для тих організацій, які підпадають під 21-й наказ, але при цьому атестуватимуть свої системи за новими ГОСТами – ГОСТ РВ 0043-003-2012 та ГОСТ РВ 0043-004-2013. Перевіряючі в них спитають про ознаки визнання економічної недоцільності вибору захисних заходів або взагалі з ними не погодитися.
  • Якщо в 17-му наказі написано, що СрЗІ мають бути лише сертифікованими, то що робити із системами контролю цілісності, доступності, управління конфігурацією тощо? На що їх сертифікувати? При цьому я розумію, чому ФСТЕК на нього не відповідає. Там стільки підводного каміння. І з 199-м наказом, і із загальною парадигмою сертифікації засобів захисту. Число типів засобів захисту плодиться все більше і більше і ФСТЕК просто не встигає випускати нові РД під них (враховуючи, що спочатку РД писалися не під засоби захисту, а під рівні конфіденційності / секретності інформації, що захищається). А ще й випробувальним лабораторіям та органам із сертифікації треба навчитися їх застосовувати. Може пора вже провести чітку межу між засобами захисту держтаємниці та решти? Перші сертифікувати як раніше, а для других – змінити парадигму?
  • Якщо споживач вибирає систему захисту віртуалізації для виконання вимог блоку ЗСВ, то що має бути написано в сертифікаті чи ТУ, щоб замовник був упевнений, що йому продали те, що справді відповідає вимогам 17-го чи 21-го наказу? Адже не секрет, що багато вендоров/випробувальних лабораторій не видають потенційним покупцям ТУ до моменту угоди. А після оплати вже пізно сперечатися. Але знову ж таки, відповідь на це запитання вимагає перегляду існуючої системи сертифікації засобів захисту інформації, на що ФСТЕК навряд чи вирішиться у найближчому майбутньому.