Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] использование СКЗИ с истекшими сроками действия сертификатов, использование СКЗИ с истекшими сроками действия сертификатов
Кто знает какая ответственность предусмотрена за использование СКЗИ с истекшими сроками действия сертификатов, желательно дать ссылку на документ.
Цитата
ruskii07 пишет:
Кто знает какая ответственность предусмотрена за использование СКЗИ с истекшими сроками действия сертификатов, желательно дать ссылку на документ.
Применение СКЗИ с просроченными сертификатами то же, что и применение несертифицированных средств.
КоАП, ст. 13.12. "Нарушение правил защиты информации". Штраф на юрлиц от 10К до 20К с конфискацией СЗИ.
При защите ГТ ответственность выше.
Срок истек, значит несертифицированные, ст. 12.13 КоАП: 2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.

Вопрос к юристам: распространяется эта статья на СКЗИ? Вроде СКЗИ - частный случай СЗИ, или отдельная классификация, в статье написано СЗИ.
гсот, СЗИ - техническое
Цитата
Сергей С. пишет:
Срок истек, значит несертифицированные, ст. 12.13 КоАП: 2.


Вопрос к юристам: распространяется эта статья на СКЗИ? Вроде СКЗИ - частный случай СЗИ, или отдельная классификация, в статье написано СЗИ.
Сергей С., по-моему, 13.12.?

Согласно закона "О гостайне" СЗИ - технические, программные, криптографические и ДРУГИЕ средства......
Согласно ГОСТ, СЗИ - техническое , програмное средство, вещество или материал .......

Т.е. даже занавески на окнах :)
А вот что недавно мне представитель одного из вендоров на подобную тему написал. В первые сталкиваюсь с такой точкой зрения...

Согласно Федеральному закону от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» (ст.23. п. 3): «декларация соответствии и сертификат соответствия имеют равную юридическую силу и действуют на всей территории Российской Федерации в отношении каждой единицы продукции, выпускаемой в обращение на территории Российской Федерации во время действия декларации о соответствии или сертификата соответствия, в течение срока годности или срока службы продукции, установленных в соответствии с законодательством Российской Федерации».

Таким образом, если вы приобрели ключи/ПО во время срока действия сертификата (который выдается на производство) - они являются сертифицированными на протяжении всего жизненного цикла продукта и не перестают быть сертифицированными после истечения срока действия сертификата.

Для нашей продукции срок годности не применим, устанавливать срок службы Вы можете самостоятельно. В данном случае можно ориентироваться на закон «О защите прав потребителей» (Статья 6), где указано: «…Изготовитель обязан обеспечить возможность использования товара в течение его срока службы. … а при отсутствии такого срока
в течение десяти лет со дня передачи товара потребителю».
Михаил, не забывайте, что если у СКЗИ закончился срок действия сертификата, то повторную сертификацию он может уже не пройти, так как прогресс не стоит на месте, и в современных реалиях защита может оказаться слабой. Или другой вариант -- вскрываются ранее неизвестные слабые места уже сертифицированного СКЗИ, которые могут результативно использовать злоумышленники -- в такой ситуации теоретически сертификат может быть отозван. Так что, мы не можем себе сами устанавливать срок службы купленного "товара", и если сертификат потерял актуальность, то не имеем права далее пользоваться средством. Всё ИМХО, конечно...
Цитата
Михаил пишет:
А вот что недавно мне представитель одного из вендоров на подобную тему написал. В первые сталкиваюсь с такой точкой зрения...



Согласно Федеральному закону от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» (ст.23. п. 3): «декларация соответствии и сертификат соответствия имеют равную юридическую силу и действуют на всей территории Российской Федерации в отношении каждой единицы продукции, выпускаемой в обращение на территории Российской Федерации во время действия декларации о соответствии или сертификата соответствия, в течение срока годности или срока службы продукции, установленных в соответствии с законодательством Российской Федерации».



Таким образом, если вы приобрели ключи/ПО во время срока действия сертификата (который выдается на производство) - они являются сертифицированными на протяжении всего жизненного цикла продукта и не перестают быть сертифицированными после истечения срока действия сертификата.
Дело в том, что статья 5 этого закона отдает вопросы сертификации (оценки соответствия) СЗИ на откуп регуляторам, и описанный вами порядок к ним не применим. Техрегламентов на СЗИ нет, и, согласно ФЗ-184, не должно быть. А раз так, нет и декларации о соответствии, а сертификация проводится на основе требований РД.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)