Постановление правительства 79 - Форум по вопросам информационной безопасности

Добрый день!

В июне вступили изменения в ПП 79, согласно которым теперь требуется больше сотрудников, требуется их доп. обучение, если без профильного образования и другие изменения.

Есть правило - закон обратной силы не имеет. Он отражён, например в ст.4 ГК РФ.

Вопрос уже наверное понятен. Если лицензия получена при прошлых требованиях, то надо ли соответствовать новым и почему?

Этот вопрос так же хотелось бы отнести к "Перечню технической документации ..."

Он ведь тоже обновился в июле 2017. И в нём появились новые документы.

Надо бежать покупать новые документы или не надо?

Тов. Лютиков прокомментировал это примерно так: соответствие новым требованиям д.б. на момент проведения плановой/внеплановой проверки.
PS: заказ новых документов, особенно из Воронежа - достаточно длительный процесс. Если будет вынесено предписание при проверке - с высокой вероятностью не уложитесь в срок. Сами мы уже направили заявку.

Если не сложно, напишите, что добавилось нового из технической документации.
Судя по необходимости заказа из Воронежа, я так понимаю, среди новых документов есть документы с грифом ДСП.

То что Лютиков комментирует это конечно хорошо.

Но вот прав ли он с точки зрения правовых норм.

Может есть на форуме опытные юристы?

2 ustav

А мне уже даже договор почтой отправили))

Сверил между собой перечни документации от 04.04.2015г. и от 24.07.2017г.

В новом Перечни появились (либо был изменен год издания ГОСТ) следующие документы:

- Требования к межсетевым экранам. Утверждены приказом ФСТЭК России от 09.02.2016 №9. ДСП;
- Требованиям безопасности информации к операционным системам, утвержденным приказом ФСТЭК России от 19.08.2016 г. № 119. ДСП;
- ГОСТ 2.103-2013 ЕСКД Стадии разработки;
- ГОСТ 2.118-2013 ЕСКД Техническое предложение;
- ГОСТ 2.119-2013 ЕСКД Эскизный проект;
- ГОСТ 2.120-2013 ЕСКД Технический проект;
- ГОСТ 2.503-2013 ЕСКД Правила внесения изменений;
- ГОСТ Р 8.563-2009 Государственная система обеспечения единства измерений. Методики (методы) измерений;
- ГОСТ 19.001-77 ЕСПД. Общие положения;
- ГОСТ 19.101-77 ЕСПД. Виды программ и программных документов;
- ГОСТ 19.102-77 ЕСПД. Стадии разработки;
- ГОСТ 19.103-77 ЕСПД. Обозначение программ и программных документов;
- ГОСТ 19.104-78 ЕСПД. Основные надписи;
- ГОСТ 19.105-78 ЕСПД. Общие требования к программным документам;
- ГОСТ 19.106-78 ЕСПД. Требования к программным документам, выполненным печатным способом;
- ГОСТ 19.201-78 ЕСПД. Техническое задание. Требования к содержанию и оформлению;
- ГОСТ 19.401-78 ЕСПД Текст программы. Требования к содержанию и оформлению;
- ГОСТ 19.402-78 ЕСПД Описание программы;
- ГОСТ 19.502-78 ЕСПД Описание применения. Требования к содержанию и оформлению;
- ГОСТ 19.601-78 ЕСПД. Общие правила дублирования, учета и хранения;
- ГОСТ 19.602-78 ЕСПД. Правила дублирования, учета и хранения программных документов, выполненных печатным способом;
- ГОСТ 19.603-78 ЕСПД. Общие правила внесения изменений;
- ГОСТ 19.604-78 ЕСПД. Правила внесения изменений в программные документы, выполненные печатным способом;
- ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования;
- ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод правил по мерам и средствам обеспечения информационной безопасности (взамен ГОСТ Р ИСО/МЭК 17799-2005);
- ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности;
- ГОСТ Р ИСО/МЭК 27033-3-2014 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Электронные сетевые сценарии. Угрозы, методы проектирования и вопросы управления;
- ГОСТ 27296-2012 Здания и сооружения. Методы измерения звукоизоляции ограждающих конструкций;
- ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей;
- ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем;
- ГОСТ Р 56938-2016 Защита информации. Защита информации при использовании технологий виртуализации. Общие положения;
- Р 50.1.056-2005 Техническая защита информации. Основные термины и определения.

Получается нужно заказывать только два документа:
- Требования к межсетевым экранам. Утверждены приказом ФСТЭК России от 09.02.2016 №9. ДСП;
- Требованиям безопасности информации к операционным системам, утвержденным приказом ФСТЭК России от 19.08.2016 г. № 119. ДСП.

Всё остальное, в теории, можно получить через "Гарант" или "Консультант".

2 Бутч

А ничего, что моя тема о другом, а вы тут спамите?!)

Всё верно про ДСП, только ещё два ГОСТа появились ДСП

ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения. ДСП
ГОСТ РО 0043-004-2013 Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний. ДСП

И если раньше в ПП 79 говорилось, что все документы должны быть на праве собственности или на ином законном основании, то теперь только ограниченного доступа должны получены в установленном порядке, а все остальные документы должны быть просто в наличии.

То есть вам теперь не надо по ГОСТам ссылаться, что у вас есть Гарант или Консультант. Достаточно их просто скачать в интернете и хранить у себя на компьютере.

За "спам" извиняюсь, не специально.

Касательно ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 - они уже требовались по Перечню 2015 года. Мы их уже получали и предъявляли при проверке регулятора.

По теме.
Во-первых, не забывайте, что лицензия ТЗКИ изменилась (по новым изменениям в ПП 79 добавился вид деятельности "наладка"), и если лицензиат выполняет эту работу (наладку), то необходимо получать новую лицензию по ТЗКИ. А это, само собой, влечёт предоставление комплекта документов, в том числе, подтвержедние наличия ДСП документов.

Во-вторых, моё личное мнение, лицезиат должен отслеживать изменения в законодательстве и своевременно реагировать. Тем более, об изменениях в ПП 79, например в части специалистов, было известно заранее до вступления изменений в силу. Что касаемо тех.документации и перечня КИО, то с этим у ФСТЭК беда. Что-то меняют втихую и не всегда информируют общественность. Тут уж приходится самим отслеживать изменения.

2 Бутч

Насчёт ГОСТов, вы правы, я не прав.

За мнение, спасибо.