Что такое уровни доверия фстэк
Перейти к содержимому

Что такое уровни доверия фстэк

  • автор:

Что такое уровни доверия фстэк

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Носова Екатерина Евгеньевна

Программа разработана совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Обзор документа

Письмо Федеральной службы по техническому и экспортному контролю от 15 октября 2020 г. № 240/24/4268 “Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий”

На основе анализа правоприменительной практики и на основании подпункта 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утверждённого Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, приказом ФСТЭК России от 2 июня 2020 г. N 76 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59772) утверждена новая редакция Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее — Требования).

Указанный документ предназначен для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию программных, программно-технических средств технической защиты информации, средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации (далее — средства), заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации.

В соответствии с приказом ФСТЭК России от 2 июня 2020 г. N 76 Требования вступают в силу с 1 января 2021 г., за исключением:

абзаца седьмого пункта 12.2 и абзаца девятого пункта 12.4, вступающих в силу с 1 января 2022 г.;

абзаца пятого пункта 12.5, вступающего в силу с 1 января 2024 г.;

абзаца пятого пункта 12.3, вступающего в силу с 1 января 2028 г.

Кроме того с 1 января 2021 г. признается утратившим силу приказ ФСТЭК России от 30 июля 2018 г. N 131 "Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий".

Изготовителям средств, сертифицированных по схеме сертификации для серийного производства, необходимо привести средства в соответствие Требованиям в сроки, установленные приказом ФСТЭК России от 2 июня 2020 г. N 76, и проинформировать об этом ФСТЭК России в целях переоформления сертификатов соответствия.

Требования применяются к средствам и устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа.

Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств, организуемых ФСТЭК России в пределах своих полномочий.

Для дифференциации требований по безопасности информации к средствам устанавливается 6 уровней доверия. Самый низкий уровень — шестой, самый высокий — первый.

Средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.

Средства, соответствующие 5 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 2 категории, в государственных информационных системах 2 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.

Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.

Средства, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Для дифференциации требований к исследованиям программного обеспечения средств по выявлению уязвимостей и недекларированных возможностей устанавливается 6 уровней контроля. Самый низкий уровень — шестой, самый высокий — первый.

В соответствии с Требованиями средства должны проходить исследования по выявлению уязвимостей и недекларированных возможностей по уровню контроля, соответствующему уровню доверия.

Средства, соответствующие 6 уровню доверия, должны проходить исследования по 6 уровню контроля, 5 уровню доверия — по 5 уровню контроля, 4 уровню доверия — по 4 уровню контроля, 3 уровню доверия — по 3 уровню контроля, 2 уровню доверия — по 2 уровню контроля, 1 уровню доверия — по 1 уровню контроля.

Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций Требованиями производится в соответствии с Порядком обеспечения органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России, размещенном на официальном сайте ФСТЭК России www.fstec.ru в подразделе "Обеспечение документами" раздела "Документы".

Одновременно сообщаем, что в соответствии с приказом ФСТЭК России от 11 августа 2020 г. N 96 при выполнении работ по сертификации средств защиты информации с 15 августа 2020 г. не применяется руководящий документ Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей", утверждённый приказом Гостехкомиссии России от 4 июня 1999 г. N 114.

Заместитель директора ФСТЭК России В. Лютиков

Обзор документа

С 2021 г. вступают в силу новые требования по безопасности информации. Они устанавливают уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Ряд положений начнет действовать в более поздние сроки.

Указано, на кого распространяются требования. Отражены основные нововведения.

Что такое уровни доверия фстэк

II. Общие требования по безопасности информации

4. Для дифференциации требований по безопасности информации к средствам устанавливается 6 уровней доверия. Самый низкий уровень — шестой, самый высокий — первый.

Средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории <1>, в государственных информационных системах 3 класса защищенности <**>, в автоматизированных системах управления производственными и технологическими процесса 3 класса защищенности <***>, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных <****>.

<1> Статья 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736), Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 (Собрание законодательства Российской Федерации, 2018, N 8, ст. 1204; 2019, N 16, ст. 1955).

<**> Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933) и приказом ФСТЭК России от 28 мая 2019 г. N 106 (зарегистрирован Минюстом России 13 сентября 2019 г., регистрационный N 55924).

<***> Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. N 31 (зарегистрирован Минюстом России 30 июня 2014 г., регистрационный N 32919) (с изменениями, внесенными приказом ФСТЭК России от 23 марта 2017 г. N 49 (зарегистрирован Минюстом России 30 июня 2017 г., регистрационный N 32919) и приказом ФСТЭК России от 9 августа 2018 г. N 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный N 52071).

<****> Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

Средства, соответствующие 5 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 2 категории <*>, в государственных информационных системах 2 класса защищенности <**>, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности <***>, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных <****>.

Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории <*>, в государственных информационных системах 1 класса защищенности <**>, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности <***>, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных <****>, в информационных системах общего пользования II класса <*****>.

<*****> Требования о защите информации, содержащейся в информационных системах общего пользования, утвержденные приказом ФСБ России и ФСТЭК России от 31 августа 2010 г. N 416/489 (зарегистрирован Минюстом России 13 октября 2010 г., регистрационный N 18704).

5. При проведении сертификации средства защиты информации должно быть подтверждено соответствие средства настоящим Требованиям.

Устанавливается следующее соответствие классов средств защиты информации и средств вычислительной техники уровням доверия:

средства защиты информации 6 класса должны соответствовать 6 уровню доверия;

средства защиты информации 5 класса должны соответствовать 5 уровню доверия;

средства защиты информации 4 класса и средства вычислительной техники 5 класса должны соответствовать 4 уровню доверия.

6. Средство соответствует уровню доверия, если оно удовлетворяет требованиям к разработке и производству средства, проведению испытаний средства, поддержке безопасности средства, приведенным в таблице 1.

Новое в сертификации средств защиты информации

Около года назад, 3 апреля 2018-го года ФСТЭК России опубликовал приказ №55. Он утвердил Положение о системе сертификации средств защиты информации.

Это определило, кто является участником системы сертификации. Также оно уточнило организацию и порядок сертификации продукции, которая используется для защиты конфиденциальных сведений, представляющих государственную тайну, средства для защиты которой тоже необходимо сертифицировать через указанную систему.

  • Средства для борьбы с иностранными техническими разведками и средства контроля эффективности технической защиты информации.
  • Средства обеспечения безопасности IT, включая защищённые средства обработки информации.
  • Органы, аккредитованные ФСТЭК.
  • Испытательные лаборатории, которые аккредитованы ФСТЭК.
  • Изготовители средств защиты информации.
  • Подать заявку на сертификацию.
  • Дождаться решения о проведении сертификации.
  • Пройти сертификационные испытания.
  • Оформить экспертное заключение и проект сертификата соответствия по результатам.

Помимо этого, в том или ином случае производится:

  • Предоставление дубликата сертификата.
  • Маркирование средств защиты.
  • Внесение изменений в уже сертифицированные средства защиты.
  • Продление сертификата.
  • Приостановка действия сертификата.
  • Прекращение его действия.

«13. Сертификационные испытания средств защиты информации проводятся на материально-технической базе испытательной лаборатории, а также на материально-технических базах заявителя и (или) изготовителя, расположенных на территории Российской Федерации.»

Не так давно, 29-го марта 2019-го года, ФСТЭК опубликовал ещё одно улучшение, которое озаглавил «Информационное сообщение ФСТЭК России от 29 марта 2019 г. N 240/24/1525».

Документ модернизировал систему сертификации средств защиты информации. Таким образом, утверждены Требования по безопасности информации. Они устанавливают уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Они в свою очередь определяют условия для разработки и производства средств защиты информации, проведения испытаний средств защиты информации, а также для обеспечения безопасности средств защиты информации в ходе их применения. Всего есть шесть уровней доверия. Самый низкий уровень — шестой. Самый высокий — первый.

Прежде всего уровни доверия предназначены для разработчиков и производителей средств защиты, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации. Выполнение Требований к уровню доверия обязательно при сертификации средств защиты информации.
Всё это вступит в силу 1-го июня 2019 г. В связи с утверждением Требований к уровню доверия, ФСТЭК больше не будет принимать заявки на сертификацию средств защиты на соответствие требованиям руководящего документа «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

Средства защиты информации, соответствующие первому, второму и третьему уровням доверия, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Применение средств защиты с четвёртого по шестой уровень доверия для ГИС и ИСПДн соответствующих классов/уровней защищенности приведены в таблице:

Следует обратить особое внимание на то, что:

«Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. № 55, может быть приостановлено.»

Пока законотворцы продолжают работу над улучшениями требований к сертификации, мы предоставляем облачную инфраструктуру, отвечающую всем требованиям принятых законов. Решение предусматривает уже подготовленную инфраструктуру, готовое решение для соответствия федеральному закону 152.

ДЕПАРТАМЕНТ СИСТЕМНЫХ РЕШЕНИЙ

Сертификация средств защиты информации по уровням доверия

Сертификация средств защиты информации

Действующее законодательство определяет требования к защите информации ограниченного доступа, обрабатываемой в информационных системах. Чтобы гарантировать соблюдение требований регулятора, разработчики предоставляют технические, программные и программно-аппаратные средства защиты информации на сертификационные испытания. При сертификации средствам защиты информации присваивается уровень доверия. Регламентируется уровень доверия приказом ФСТЭК № 55 от 3 апреля 2018 г.

В отличие от класса средства защиты информации (СЗИ), уровень доверия зависит не от функциональных возможностей средства, а от того, как разрабатывалось и тестировалось данное СЗИ и каким образом поддерживается информационная безопасность в ходе его эксплуатации. Всего уровней доверия шесть: самый низкий – шестой, а самый высокий – первый. СЗИ 1, 2 и 3 уровня доверия применяются только для защиты информации, относящейся к государственной тайне.

Полный список требований к СЗИ с разными уровнями доверия приведен в приказе ФСТЭК № 76 от 2 июня 2020 г. Предназначен данный список, прежде всего, для разработчиков и производителей средств защиты информации, а также для испытательных лабораторий и органов по сертификации. В него входят требования к разработке и производству СЗИ (например, требования к проектированию архитектуры безопасности, функциональной спецификации и проектированию СЗИ), к проведению испытаний СЗИ (в том числе требования к тестированию и выявлению уязвимостей и недекларируемых возможностей и другие), а также к поддержке безопасности (устранению недостатков и обновлению).

Сертифицировать используемые в информационной системе СЗИ обязательно, если информационную систему можно отнести к одной из следующих категорий:

  • Государственные информационные системы (ГИС)
  • Информационные системы, содержащие сведения, составляющие государственную тайну (ГТ)
  • Информационные системы, содержащие информацию с пометкой «для служебного пользования» (служебная информация).

Для защиты следующих объектов информатизации применение сертифицированных СЗИ носит рекомендательный характер:

  • Автоматизированные системы управления технологическим процессом (АСУ ТП)
  • Информационные системы персональных данных (ИСПДн)
  • Критическая информационная инфраструктура (КИИ)

Полученный в ходе сертификации уровень доверия определяет, в информационных системах каких классов и категорий может использоваться данное СЗИ:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *