Вправе ли компания использовать оборудование для защиты каналов связи по которым будут передаваться персональные данные, не имеющее сертификации в ФСТЭК? Может ли использоваться такое оборудование при наличии только декларации о соответствии (если такая выдается)?
Главное
Из обнаруженной информации, мы приходим к выводу, что, в общем случае, вправе компания использовать оборудование для защиты каналов связи по которым будут передаваться персональные данные, не имеющее сертификации в ФСТЭК. Тут нужно исходить из следующего, что сертификация ФСТЭК является обязательной для организаций, которые работают в ГИС, АСУ ТП, относятся к объектам КИИ, обрабатывают государственную тайну.
Так же с 01.01.2025 органам госвласти запрещается использовать иностранное ПО, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры (пп. "б" п. 1 Указа Президента РФ от 30.03.2022 N 166). Требования к такому ПО утверждены Постановлением Правительства РФ от 22.08.2022 N 1478. Полагаем, может использоваться такое оборудование при наличии только декларации о соответствии (если такая выдается в добровльном порядке, обязательная сертификация не предусмотрена).
Обоснование
Законом о техническом регулировании, а также Перечнями продукции, утвержденными Постановлением Правительства РФ от 23.12.2021 N 2425 согласно п. 3 ст. 46 указанного Закона, обязательная сертификация ПО не предусмотрена.
Обязательная сертификация проводится для ПО, которое используется для защиты сведений, составляющих государственную тайну. Закон о гостайне предусматривает обязательную сертификацию средств защиты информации, а к ним относятся в том числе и программные средства (ст. ст. 2, 28 Закона о гостайне, п. 1 Положения о сертификации средств защиты информации).
Обратите внимание
- с 1 января 2025 г. органам государственной власти, заказчикам запрещается использовать иностранное программное обеспечение на принадлежащих им значимых объектах критической информационной инфраструктуры.
{Указ Президента РФ от 30.03.2022 N 166 (ред. от 22.11.2023) "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации" {КонсультантПлюс}}
В Приложении к ответу Вы найдете: