今回は、問題に対する私のビジョンではなく、 認証が情報保護要件への保護機器のコンプライアンスを評価する唯一の形式であるという論文につながる法律から抜粋します 。
この記事は少し厄介であることが判明しましたが、うまくいけば理解できます。
足はどこから成長しますか?
私たちは、最新の規制文書に従って保護装置の要件を検討します。FSTECNo. 21の命令、政府の政令No. 1119-適合性評価の必要性に関する要件を確立します。
注文番号21のポイント4
4.個人データのセキュリティを確実にするための対策は、特に、個人データのセキュリティに対する現在の脅威を中和するためにそのようなツールの使用が必要な場合に、所定の方法で適合評価手順に合格した情報システムの情報保護ツールの使用を通じて実装されます。
政令第1119項第13項
情報システムで処理中の個人データのセキュリティレベルを確保するには、次の要件を満たす必要があります。
d)情報セキュリティの分野でロシア連邦の法律の要件の順守を評価する手順に合格した情報セキュリティツールの使用(現在の脅威を中和するためにそのようなツールの使用が必要な場合)。
したがって、保護装置の助けを借りて脅威を中和する場合、適合性評価に合格した情報セキュリティ対策を使用する必要があります。
多くの人にとって、情報保護に関する直接文書では適合性評価の明確な定義が得られないため、この時点で疑問が生じます。
「適合性評価」とは何ですか?
それが何であるかを理解するために、あなたは2002年12月27日の連邦法の最新版を参照する必要があります。N184-2013年9月1日に修正された「技術規制について」(以下、連邦法No.184)
まず、概念を定義しましょう。
適合宣言 -製品が技術規制の要件に準拠していることを確認する形式。
適合宣言 -技術規制の要件に基づいて流通する製品の適合を証明する文書。
適合性評価 -施設の要件へのコンプライアンスの直接的または間接的な決定。
適合性の確認 -製品または他の物体の適合性の証拠書類、生産、運転、保管、輸送、販売および廃棄のプロセス、作業の遂行、または技術規制の要件に対するサービスの提供、標準または契約条件の提供;
技術的規制 -ロシア連邦の国際条約によって採択され、ロシア連邦の法律、または連邦法、またはロシア連邦大統領の命令、またはロシア連邦政府の決議によって確立された方法で批准され、適用および執行を拘束する技術的規制の対象の要件を確立する文書(建物、構造物および構造物を含む製品、生産、運用、保管、輸送、販売のプロセス および廃棄);
適合確認フォーム -製品または他のオブジェクトの適合性を文書化するための特定の手順、生産、運用、保管、輸送、販売および廃棄、作業またはサービスの技術規制の要件、標準の規定または契約条件への適合
連邦法No. 184の記事20に従います。
確認フォーム、- 自主的な認証とコンプライアンスの強制的な確認があることがわかります 。
1.ロシア連邦の領土でのコンプライアンスの確認は、任意または必須です。
2.適合性の自発的な確認は、自発的な認証の形で行われます。
3.コンプライアンスの必須確認は、次の形式で実行されます。
-適合宣言書(以下、適合宣言書)の採用。
-必須の認証。
順番に、必須は2つの形式を取ることができます: 適合宣言と必須認証 。
実際、コンプライアンスを確認する方法は3つあります。
-自主認証
-必須認証
-適合宣言
強制的な認定は考慮しません。このトピックに関しては、私たちにとって関心のないものです。 残りを考慮してください。
自主認証
現時点では実際に認証機関が存在しないため、このフォームにはあまり焦点を当てません(間違っている可能性があります)。 頭に浮かぶのはGazpromsertだけで、これは社内で製品を使用するためのものです。
21の記事に従って:
セクション21。適合の自発的確認、-企業標準を満たすためにより多く使用されていることがわかります。
1.申請者と認証機関との間の合意の条件に基づいて、申請者の主導でコンプライアンスの自発的な確認が行われます。 自主的なコンプライアンスの確認は、国家標準、予備的な国家標準、組織の基準、実施基準、自主認証システム、契約条件へのコンプライアンスを確立するために実施できます。
2.自発的な認証システムは、法人と(または)個々の起業家、または複数の法人と(または)個々の起業家によって作成される場合があります。
かつて、PD保護のコンテキストで自発的な認証システムを作成する動きがありましたが、物事はうまくいかなかったようです。
また、必須の認証と比較した場合の時間とリソースの無駄の違いは、重要ではありません(仮にあったとしても)。
適合宣言
法律の次の段落が最も魅力的に見えるかもしれません:
セクション24.適合宣言
1.適合宣言は、次のスキームのいずれかに従って実行されます。
- 自身の証拠に基づく適合宣言の採択;
-自身の証拠、認証機関および(または)認定試験機関(センター)(以下-第三者)の参加により得られた証拠に基づいた適合宣言の採択。
特に同じ記事の魂を温める行:
2. 申請者は、自身の証拠に基づいてコンプライアンスを宣言する場合、製品が技術規制の要件に準拠していることを確認する目的で、独自に証拠を作成します。 証拠資料として、技術文書、 当社独自の研究(テスト)および測定の結果、および(または)その他の文書が使用されます。これらは、製品が技術規制の要件に適合していることを確認する動機付けの基礎となりました。 証拠の構成は、関連する技術規制によって決定されます。
特に第23条第3項を考慮して:
3.適合宣言と適合証明書は、強制的な適合確認のスキームに関係なく同等の法的効力を持ち、ロシア連邦全体で有効です。
しかし、第24条のパラグラフ2の最後の文、 「証拠の構成は関連する技術規制によって決定されます。」 、および第24章のパラグラフ5に注目しましょう。
証拠の構成は、関連する技術規制によって決定されます。
また、(そして何よりも)第23条のパラグラフ1を検討する価値があります。
1.コンプライアンスの必須確認は、関連する技術規制によって確立された場合にのみ、技術規制の要件への準拠のためにのみ実行されます 。
上記のすべてを要約すると、次のことがわかります: 法律は、情報保護手段が情報保護要件に準拠していることを宣言する当社の権利を制限しません(第28条の段落1に従い、関連する技術規制;„)、ただし、この手順は技術規制に従って実行する必要があります(第28条の2項に従います。 製品の技術規制の要件への適合」) 。
しかし、技術的規制とは何ですか? 上記の定義に従って、政府レベルで発行され、製品要件を定義する規制文書です。
では、なぜ「認証」=「適合性評価」なのでしょうか?
この声明は部分的に真実であることに注意してください... 現在のところ 、追記をする方が良いでしょう。
適合宣言は技術規制に従って実施されるべきであり、この場合、FSTECの従業員が開発する必要があることがわかった。 しかし...「物事はまだそこにあります。」
PD法が存在する全期間にわたって、単一の技術規制は発行されていません。 現時点で存在する唯一のものはセキュリティプロファイルですが、セキュリティ開発者向けのものです(そして、ちなみに、NISTでは削除されたようです)。 それらについては、「保護プロファイルのドラフトのパッケージ 」で確認できます 。
連邦法184「技術規制について」は、ロシアのFSTECの公式ウェブサイトで見つけることができます。
2002年12月27日の連邦法N 184-FZ
保護プロファイルに関心がある場合は、 ここで規制文書を表示できます 。