Требования к сертификации фстэк. Требования к сертификации фстэк

Требования к сертификации фстэк

Новое в сертификации средств защиты информации

Около года назад, 3 апреля 2019-го года ФСТЭК России опубликовал приказ №55. Он утвердил Положение о системе сертификации средств защиты информации.

Это определило, кто является участником системы сертификации. Также оно уточнило организацию и порядок сертификации продукции, которая используется для защиты конфиденциальных сведений, представляющих государственную тайну, средства для защиты которой тоже необходимо сертифицировать через указанную систему.

Итак, что именно Положение относит к продукции, которую необходимо сертифицировать?

  • Средства для борьбы с иностранными техническими разведками и средства контроля эффективности технической защиты информации.
  • Средства обеспечения безопасности IT, включая защищённые средства обработки информации.
  • В состав участников системы сертификации вошли:

  • Органы, аккредитованные ФСТЭК.
  • Испытательные лаборатории, которые аккредитованы ФСТЭК.
  • Изготовители средств защиты информации.
  • Чтобы пройти сертификацию, необходимо сделать следующие шаги:

  • Подать заявку на сертификацию.
  • Дождаться решения о проведении сертификации.
  • Пройти сертификационные испытания.
  • Оформить экспертное заключение и проект сертификата соответствия по результатам.
  • Далее сертификат могут выдать или отказать в выдаче.

    Помимо этого, в том или ином случае производится:

  • Предоставление дубликата сертификата.
  • Маркирование средств защиты.
  • Внесение изменений в уже сертифицированные средства защиты.
  • Продление сертификата.
  • Приостановка действия сертификата.
  • Прекращение его действия.
  • 13-й пункт Положения следует процитировать:

    «13. Сертификационные испытания средств защиты информации проводятся на материально-технической базе испытательной лаборатории, а также на материально-технических базах заявителя и (или) изготовителя, расположенных на территории Российской Федерации.»

    Не так давно, 29-го марта 2019-го года, ФСТЭК опубликовал ещё одно улучшение, которое озаглавил «Информационное сообщение ФСТЭК России от 29 марта 2019 г. N 240/24/1525».

    Документ модернизировал систему сертификации средств защиты информации. Таким образом, утверждены Требования по безопасности информации. Они устанавливают уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Они в свою очередь определяют условия для разработки и производства средств защиты информации, проведения испытаний средств защиты информации, а также для обеспечения безопасности средств защиты информации в ходе их применения. Всего есть шесть уровней доверия. Самый низкий уровень — шестой. Самый высокий — первый.

    Прежде всего уровни доверия предназначены для разработчиков и производителей средств защиты, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации. Выполнение Требований к уровню доверия обязательно при сертификации средств защиты информации.
    Всё это вступит в силу 1-го июня 2019 г. В связи с утверждением Требований к уровню доверия, ФСТЭК больше не будет принимать заявки на сертификацию средств защиты на соответствие требованиям руководящего документа «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

    Средства защиты информации, соответствующие первому, второму и третьему уровням доверия, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

    Применение средств защиты с четвёртого по шестой уровень доверия для ГИС и ИСПДн соответствующих классов/уровней защищенности приведены в таблице:

    Следует обратить особое внимание на то, что:

    «Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2019 г. № 55, может быть приостановлено.»

    Пока законотворцы продолжают работу над улучшениями требований к сертификации, мы предоставляем облачную инфраструктуру, отвечающую всем требованиям принятых законов. Решение предусматривает уже подготовленную инфраструктуру, готовое решение для соответствия федеральному закону 152.

    Система сертификации средств защиты информации по требованиям безопасности информации

    Система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.OOOI.OIBMOO является системой обязательной сертификации средств защиты информации [2, 3].

    Система сертификации средств защиты информации по требованиям безопасности информации действует на основании Положения о сертификации средств защиты информации по требованиям безопасности информации, которое устанавливает основные принципы, организационную структуру системы сертификации, порядок проведения сертификации средств защиты по требованиям безопасности информации, а также государственный контроль и надзор за сертификацией и сертифицированными средствами защиты информации [4].

    Система сертификации средств защиты информации включает также подсистему аттестации объектов информатизации и подсистему подготовки и аттестации экспертов. Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы (АС) различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.

    Объектами для подтверждения соответствия в данной системе сертификации являются средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. В качестве средств защиты информации, подлежащих сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации, выступают:

  • — технические средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении;
  • — средства защиты информации (технические, программные, программно-технические) от несанкционированного доступа (НСД), блокировки доступа и нарушения целостности;
  • — средства контроля эффективности применения средств защиты информации;
  • — защищенные программные средства обработки информации;
  • — программные средства общего назначения.
  • Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.

    Основными схемами сертификации средств защиты информации являются:

    • — для единичных образцов средств защиты информации — проведение испытаний образца на соответствие требованиям по безопасности информации;
    • — для серийного производства средств защиты информации — проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению органа по сертификации допускается предварительная проверка (аттестация) производства по утвержденной программе.
    • По согласованию с органом по сертификации по требованиям безопасности информации могут быть использованы и другие схемы сертификации, применяемые в международной практике.

      В основе правовой базы деятельности Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.OOOl.OIBHOO лежат Закон Российской Федерации «О государственной тайне», Федеральные законы «О техническом регулировании», «Об информации, информационных технологиях и о защите информации» и другие соответствующие нормативно-правовые акты.

      Организационную структуру Системы сертификации средств защиты информации по требованиям безопасности информации образуют:

    • 1. Федеральная служба по техническому и экспортному контролю (ФСТЭК) России — федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации.
    • 2. Органы по сертификации средств защиты информации — органы, проводящие сертификацию определенной продукции.
    • 3. Испытательные лаборатории — лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции.
    • 4. Заявители — изготовители, продавцы или потребители продукции.
    • Органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации, в ходе которой ФСТЭК России определяет возможности выполнения этими органами и лабораториями работ по сертификации средств защиты информации.

      Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на проведение мероприятий и (или) оказание услуг в области защиты государственной тайны в части технической защиты информации по сертификации и сертификационным испытаниям.

      ФСТЭК России в пределах своей компетенции осуществляет следующие функции:

    • — создает Систему сертификации средств защиты информации по требованиям безопасности информации и устанавливает правила проведения сертификации средств защиты информации;
    • — аккредитует органы по сертификации средств защиты информации и испытательные лаборатории;
    • — осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов;
    • — устанавливает правила аккредитации органов по сертификации средств защиты информации и испытательных лабораторий;
    • — определяет центральный орган системы сертификации средств защиты информации (при его необходимости) или выполняет функции этого органа;
    • — выдает сертификаты и лицензии на применение знака соответствия;
    • — ведет государственный реестр участников сертификации и сертифицированных средств защиты информации;
    • — осуществляет государственные контроль и надзор за соблюдением участниками сертификации правил сертификации, а также устанавливает порядок инспекционного контроля за сертифицированными средствами защиты информации;
    • — рассматривает апелляции по вопросам сертификации;
    • — представляет на регистрацию в Комитет Российской Федерации по стандартизации, метрологии и сертификации систему сертификации по требованиям безопасности информации и знак соответствия;
    • — утверждает нормативные документы, на соответствие требованиям которых проводится сертификация средств защиты информации в системе, и методические документы по проведению сертификационных испытаний.
    • — приостанавливает или отменяет действие выданных сертификатов.
    • Органы по сертификации средств защиты информации в пределах установленной области аккредитации:

    • — сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в ФСТЭК России и ведут их учет;
    • — приостанавливают либо отменяют действие выданных ими сертификатов и лицензий на применение знака соответствия;
    • — принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
    • — формируют фонд нормативных документов, необходимых для сертификации;
    • — представляют изготовителям по их требованию необходимую информацию в пределах своей компетенции;
    • — осуществляют инспекционный контроль за сертифицированными средствами защиты информации.
    • Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информации и изготовителям. Испытательные лаборатории несут ответственность за полноту испытаний средств защиты информации и достоверность их результатов.

      Заявители имеют следующие права и обязанности:

    • — изготовители и продавцы СЗИ должны иметь лицензию на проведение работ, связанных с созданием средств защиты, предназначенных для защиты сведений, составляющих государственную тайну и защиты конфиденциальной информации, а также лицензию на их реализацию;
    • — реализуют средства защиты информации только при наличии сертификата;
    • — извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
    • — маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации;
    • — указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя;
    • — применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для системы сертификации средств защиты информации по требованиям безопасности информации ФСТЭК России;
    • — обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации;
    • — обеспечивают беспрепятственное выполнение должностными лицами ФСТЭК России своих полномочий по контролю и надзору за соблюдением правил сертификации и органов по сертификации по инспекционному контролю за сертифицированными средствами защиты информации;
    • — прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов, на соответствие которым они были сертифицированы, или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.
    • Порядок проведения сертификации включает следующие действия.

      Подача заявителем в ФСТЭК России заявки на проведение сертификации с указанием схемы проведения сертификации, стандартов и иных нормативных документов, на соответствие требованиям которых должна проводиться сертификация.

      ФСТЭК России в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решение на проведение сертификации.

      После получения решения заявитель представляет в орган по сертификации и испытательный центр (лабораторию) сертифицируемое средство защиты информации, а также комплект технической и эксплуатационной документации.

      В процессе проведения испытаний испытательный центр (лаборатория) осуществляет отбор и идентификацию образца сертифицируемого средства защиты информации; на основе типовой методики разрабатывает программу и методику испытаний, адаптированных к заявленному средству; испытывает средство защиты информации с точки зрения оценки его соответствия требованиям, определенным решением ФСТЭК России. Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией). Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.

      Результаты испытаний оформляются протоколами и заключением, которые направляются испытательным центром (лабораторией) органу по сертификации, а в копии — заявителю.

      Орган по сертификации проводит экспертизу результатов испытаний и оформляет экспертное заключение. При соответствии результатов испытаний требованиям нормативных документов по защите информации орган по сертификации оформляет проект сертификата, который вместе с экспертным заключением и техническими условиями на средство защиты информации направляет в ФСТЭК России.

      После утверждения экспертного заключения, согласования технических условий на средство защиты информации, присвоения сертификату регистрационного номера ФСТЭК России оформляет сертификат соответствия. Срок действия сертификата устанавливается не более, чем на пять лет.

      При несоответствии результатов испытаний требованиям стандартов или иных нормативных документов по защите информации ФСТЭК России принимает решение об отказе в выдаче сертификата и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата заявитель имеет право обратиться в апелляционный совет ФСТЭК России для дополнительного рассмотрения материалов сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон.

      Получение изготовителем средств защиты информации сертификата дает ему право получить у ФСТЭК России сертификационную лицензию на маркировку этих средств знаком соответствия. Владелец лицензии на применение знака соответствия несет ответственность за поставку маркированных средств защиты информации, не отвечающих требованиям нормативной и методической документации, указанной в сертификате.

      Государственный контроль и надзор за соблюдением заявителями, испытательными центрами (лабораториями), органами по сертификации правил обязательной сертификации и за сертифицированными средствами защиты информации осуществляет ФСТЭК России.

      Инспекционный контроль за сертифицированными средствами защиты информации осуществляет орган по сертификации или испытательный центр (лаборатория) в соответствии с решением ФСТЭК России, проводивший сертификацию этих средств защиты информации. Периодичность и объемы испытаний сертифицированных средств защиты информации в испытательных центрах (лабораториях) должны предусматриваться в нормативных и методических документах по сертификации конкретных видов средств защиты информации.

      По результатам контроля ФСТЭК России может приостановить или отменить действие сертификата и аттестата аккредитации. Решение об отмене действия сертификата принимается только в том случае, если в результате принятых незамедлительных мер не может быть восстановлено соответствие средств защиты информации установленным требованиям. Причинами, которые могут заставить принять такое решение, являются:

    • — изменение нормативных и методических документов на средства защиты информации или методов испытаний и контроля;
    • — изменение конструкции (состава), комплектности средств защиты информации, системы контроля их качества;
    • — невыполнение требований технологии изготовления, контроля, испытаний средств защиты информации;
    • — отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за сертификацией и за сертифицированными средствами защиты информации.

    Информация о приостановлении (отмене) действия сертификата или аттестата аккредитации немедленно доводится до сведения изготовителей, потребителей средств защиты информации, органов по сертификации и испытательных центров (лабораторий).

    ФСТЭК России обеспечивает участников сертификации необходимой информацией о деятельности системы сертификации, включающей: перечень средств защиты информации (их сертифицированных параметров), на которые выданы сертификаты; перечень средств защиты информации (их сертифицированных параметров), на которые действие сертификатов отменено; перечень органов по сертификации конкретных видов средств защиты информации; перечень испытательных центров (лабораторий); перечень нормативных документов, на соответствие требованиям которых проводится сертификация средств защиты информации, и методических документов по проведению сертификационных испытаний.

    Сертификация отечественных и импортируемых средств защиты информации проводится на соответствие требованиям национальных стандартов и иных нормативных документов по безопасности информации, утвержденных ФСТЭК России, указываемых в заявке, программах и методиках испытаний.

    Основными нормативными документами, определяющими требования для проведения сертификации средств защиты информации по требованиям безопасности информации, являются:

  • — ГОСТ Р ИСО/МЭК 15408-2008 (части 1—3). Критерии оценки безопасности информационных технологий;
  • — ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования;
  • — ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристики качества и руководство по их применению;
  • — ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации;
  • — ГОСТ Р 51275-99. Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения;
  • — Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
  • — Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
  • — Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
  • — Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей»;
  • Подробнее этапы, методы и средства проведения сертификационных испытаний средств защиты информации описаны в главе 7 части 2 данной книги.

    Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России

    Информационное сообщение ФСТЭК России от 29 марта 2019 г. N 240/24/1525

    Информационное сообщение ФСТЭК России от 29 марта 2019 г. N 240/24/1525

    Информационное сообщение ФСТЭК России от 29 марта 2019 г. N 240/24/1525

    3289 КБ 2392
    96 КБ 923

    ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

    ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

    О ТРЕБОВАНИЯХ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ, УСТАНАВЛИВАЮЩИХ УРОВНИ ДОВЕРИЯ К СРЕДСТВАМ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ И СРЕДСТВАМ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

    от 29 марта 2019 г. N 240/24/1525

    В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, приказом ФСТЭК России от 30 июля 2019 г. N 131 (зарегистрирован Минюстом России 14 ноября 2019 г., регистрационный N 52686) утверждены Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее – Требования к уровням доверия).

    Требования к уровням доверия предназначены для разработчиков и производителей программных и программно-технических (программно-аппаратных) средств защиты информации, средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации (далее – средства защиты информации), заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты на соответствие требованиям по безопасности информации.

    Выполнение Требований к уровню доверия является обязательным при проведении работ по сертификации средств защиты информации, организуемых ФСТЭК России в пределах своих полномочий.

    Требования к уровням доверия устанавливают требования к разработке и производству средств защиты информации, к проведению испытаний средств защиты информации, а также к поддержке безопасности средств защиты информации в ходе их применения. Для дифференциации указанных требований устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.

    Средства защиты информации, соответствующие 6 уровню доверия, подлежат применению в значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.

    Средства защиты информации, соответствующие 5 уровню доверия, подлежат применению в значимых объектах критической информационной инфраструктуры 2 категории, в государственных информационных системах 2 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.

    Средства защиты информации, соответствующие 4 уровню доверия, подлежат применению в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.

    Средства защиты информации, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

    Требования к уровню доверия подлежат применению при сертификации средств защиты информации с 1 июня 2019 г.

    В связи с утверждением Требований к уровню доверия с 1 июня 2019 г. ФСТЭК России не принимаются к рассмотрению заявки на сертификацию средств защиты информации на соответствие требованиям руководящего документа «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

    Кроме того, до внесения соответствующих изменений в нормативные правовые акты ФСТЭК России, устанавливающие требования по безопасности информации к средствам защиты информации, с 1 июня 2019 г. при сертификации не подлежат применению пункт 22 Требований к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. N 638, пункт 22 Требований к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. N 28, пункт 18 Требования к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27 сентября 2013 г. N 119, пункт 17 Требований к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2014 г. N 87, пункт 20 Требований к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. N 9, пункт 18 Требований безопасности информации к операционным системам, утвержденных приказом ФСТЭК России от 19 августа 2016 г. N 119.

    Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия. Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2019 г. N 55, может быть приостановлено.

    В соответствии с главой IV Требований к уровням доверия в отношении средств защиты информации должны быть проведены испытания по выявлению уязвимостей и недекларированных возможностей.

    В целях реализации указанного требования в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, ФСТЭК России разработана и утверждена 11 февраля 2019 г. Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении (далее — Методика).

    В соответствии с Требованиями к уровням доверия и Методикой для дифференциации требований к исследованиям программного обеспечения средств защиты информации по выявлению уязвимостей и недекларированных возможностей устанавливается 6 уровней контроля. Самый низкий уровень – шестой, самый высокий – первый.

    Средства защиты информации, соответствующие 6 уровню доверия, проходят исследования по 6 уровню контроля, средства защиты информации, соответствующие 5 уровню доверия – по 5 уровню контроля, средства защиты информации, соответствующие 4 уровню доверия – по 4 уровню контроля, средства защиты информации, соответствующие 3 уровню доверия – по 3 уровню контроля, средства защиты информации, соответствующие 2 уровню доверия – по 2 уровню контроля, средства защиты информации, соответствующие 1 уровню доверия – по 1 уровню контроля.

    ФСТЭК обновила требования к ПО в сфере кибербезопасности

    Федеральная служба по техническому и экспортному контролю (ФСТЭК) представила требования к разработке программного обеспечения и средствам защиты информации. Обновленные предписания распространяются на межсетевые экраны, антивирусы, защищенные ОС, программы защиты от утечки информации и ПО в сфере борьбы со спамом и защиты трафика.

    Предполагается, что требования вступят в силу уже 1 июля текущего года. Производители и разработчики будут обязаны до конца 2019 года провести испытания своих продуктов (посредством лабораторий ФСТЭК) на предмет соответствия новым предписаниям и выявления недекларированных возможностей, а также уязвимостей. В случае отказа или опоздания с тестированием действие сертификатов может быть приостановлено.

    Участники рынка прогнозируют, что реализация требований повлечет за собой существенные растраты на прохождение сертификации. Более того, это может привести к сокращению зарубежных поставщиков софта в отечественном госсекторе, пишет «Ъ».

    Аналитики указывают на то, что крупные игроки рынка вряд ли предоставят для испытания исходный код, ввиду конфиденциальности информации. Посему количество иностранных компаний, предоставляющих софт для российских госорганов, может сократиться. С другой стороны, такая ситуация на руку отечественным разработчикам, поскольку это шанс для них начать работу в госсекторе.

    Не стоит переживать за иностранных поставщиков. Они прекрасно отдают себе отчёт по рискам работы с юрисдикциями, применяющими неэффективное или устаревшее регулирование. Большинство таких вендоров уже давно не рассматривают российский госсектор как целевой рынок. При этом они же спокойно продолжают продавать передовые программные решения, не имеющие российских аналогов.

    Перечисленные в требованиях средства защиты информации, по мнению создателя рынка антивирусного ПО Джона Макафи, не эффективны в современных условиях. Современная кибербезопасность обеспечивается в первую очередь правильным информационным дизайном. ФСТЭК же продолжает создавать себе и поставщикам решений дополнительную работу, попутно способствуя монополизации соответствующего рынка.

    Дополнительные затраты на «перевооружение» с помощью российских аналогов базового ПО информационной безопасности не выглядят целесообразной статьёй бюджета с точки зрения любого бизнеса. Поэтому госкорпорации продолжат использовать зарубежное программное обеспечение до тех пор, пока на это не будет введён прямой законодательный запрет.?

    Как Вы оцениваете новые требования к средствам защиты информации?

    Новые требования вытекают из последовательного эволюционного пути развития системы регулирования, проводимого ФСТЭК России.

    Приказ ФСТЭК России №131 от 30.07.2019 «Об утверждении Требований по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» подробно обсуждался в феврале 2019 г. на конференции в рамках выставки «Технологии безопасности». В первой части документа четко очерчено, что «Требования доверия устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа».

    Поэтому говорить, что «требования к софту в сфере кибербезопасности» некорректно с двух позиций.

    Первая: уважаемые коллеги, никто не заставляет вас сертифицировать ваши решения по новым требованиям. Приказ 131 касается только тех разработчиков, кто хочет с помощью своих решений защищать информацию ограниченного доступа и гостайну. К тому же, необходимость предоставления в испытательную лабораторию исходных кодов была и раньше для всех СЗИ, начиная с третьего уровня НДВ. Применяемый подход к сертификации раньше был размыт — грубо, это звучало так: «недекларированных возможностей в результате испытаний вашего СЗИ не выявлено». Теперь вводятся уровни доверия, что более понятно потребителям особенно тем, кто строит доверенные (безопасные) системы. Шестой уровень доверия – самый низкий, самый высокий – первый. Уровням доверия поставлены в соответствие определённые классы защиты СЗИ, категории значимых объектов КИИ, классы ГИС, АСУТП, ИСОП и уровни ИСПДн. Кстати, СЗИ, которые сертифицированы на профили защиты (а это практически все последние опубликованные на сайте www.fstec.ru сертификаты, для которых профили есть) будут соответствовать большинству новых требований и для них необходимо выполнить только оценку соответствия новым требованиям: «Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия».

    Вторая позиция. Почему речь идет только о кибербезопасности? Только потому, что эта тема сейчас в моде? Известно, что к кибербезопасности относятся только внешние угрозы и их реализации. В то же время основные утечки конфиденциальной информации происходят изнутри. Поэтому более корректно говорить о защите информации ограниченного доступа.

    Отвечая на поставленный вопрос, я приветствую рассматриваемый приказ как логическое продолжение развития и модернизации нормативной базы, которое последовательно проводит ФСТЭК России.

    В России идет кампания защиты государства в области кибербезопасности в сложившейся международной обстановке. Что касается политизированных инициатив, генерируемых нашими законотворцами, — импортозамещение, защита государственных информационных ресурсов, — их принятие неизбежно. Открытый вопрос — как это будет осуществляться? Мы с тревогой смотрим на принятые законы по суверенному интернету, закон «Яровой». Ограничительные меры в высокотехнологичных областях нередко приводят к сбою. Особенно, если делаются не совсем умелыми руками.

    Читайте так же:  Вычет страховых взносов ЮЛ и ИП по УСН, ЕНВД и патенту в 2019 году: удобная таблица. Налоговый вычет при ип на усн

admin