Cертификация антивирусов «по-исетовски»

Олег Гудилин

  Напомню, что согласно закону ФЗ № 152 «О персональных данных», к 1 января 2010 года все организации (как государственные компании, органы власти, так и коммерческие организации) обрабатывающие персональные данные физических лиц, обязаны привести свои информационные системы в соответствие с требованиями регулирующих органов. В случае нарушения закона деятельность организаций может быть приостановлена, а ее должностным лицам грозит административная, дисциплинарная или уголовная ответственность.

  ЗАО "Исет" распространило несколько пресс-релизов, содержание которых вводит заказчиков в заблуждение. Ниже приведу лишь несколько "неточностей", содержащихся в материалах ЗАО "Исет".

  "Решения ESET NOD32 – единственные средства антивирусной безопасности, которые могут использоваться для обработки персональных данных любой категории и могут быть установлены на предприятиях, где ведется работа с персональными данными высшего класса". [ссылка]

  Это заявление не соответствует действительности, так как решения ещё трёх компаний могут быть использованы на предприятиях, где ведётся работа с персданными вплоть первого (высшего) класса включительно. Среди них решения Лаборатории Касперского:

  Идём далее, снова цитата из материалов российкого Eset, на этот раз не имеющая отношения к персданным, но касающаяся сертификации в целом:

  "К полномочиям ФСТЭК России относится лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации в том числе, в области защиты государственной тайны, а также сертификация продукции в этой сфере. Таким образом, в вопросах лицензирования и сертификации, касающихся государственной сферы, компетентна исключительно ФСТЭК России. За исключением той области, на которую распространяется исключительная компетенция ФСБ России. Это вопросы защиты информации методами, не относящимися к технической защите, вопросы криптографической защиты информации, вопросы защиты объектов Российской Федерации за рубежом и защиты объектов высших органов государственной власти РФ.

  Все остальные органы государственной власти на территории России, не перечисленные выше, в части технической защиты информации ограниченного распространения, как составляющей государственную тайну, так и содержащей сведения конфиденциального характера некриптографическими методами, находятся в ведении ФСТЭК России."

  Конец цитаты, в которой тоже есть некоторые проблемы. В данный момент в арсенале ЗАО Исет нет средств защиты, сертифицированных ФСБ РФ, а если обратиться к приказу Министерства связи и массовых коммуникаций Российской Федерации N 104 от 25 августа 2009 года "Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования". Там можно увидеть следующее:

9. В зависимости от значимости информационные системы общего пользования разделяются на два класса.

9.1. К классу I относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам.

9.2. К классу II относятся информационные системы общего пользования федеральных органов исполнительной власти, за исключением перечисленных в подпункте 9.1.

10. При создании и эксплуатации информационной системы общего пользования класса I:

1) используются сертифицированные Федеральной службой безопасности Российской Федерации антивирусные средства и средства обнаружения иного вредоносного программного обеспечения в соответствии с порядком, определенным Федеральной службой безопасности Российской Федерации;

11. При создании и эксплуатации информационной системы общего пользования класса II:

1) используются сертифицированные Федеральной службой безопасности Российской Федерации антивирусные средства и средства обнаружения иного вредоносного программного обеспечения в соответствии с порядком, определенным их производителем;

  Т.е. у представителей российского представительства Eset снова наблюдает незнание или нежелание знать существующие нормы сертификации и использования сертифицированных средств защиты.

  P.S.Надеюсь, что этой заметкой я чётко ответил на вопросы от заказчиков и партнёров, которые стали следствием недобросовестных действий наших конкурентов.

  Вот типичный пример таких вопросов:

  Добрый день.

  Прошу уточнить: соответствуют ли данным требованиям корпоративные решения ЗАО "Лаборатория Касперского" ?