Верхнее

Старый замок

ФСТЭК разрешает использовать межсетевые экраны со старыми сертификатами

Сегодня в рамках ТБ Форума прошла Конференция ФСТЭК «Актуальные вопросы защиты информации«, где представители регулятора освещали действительно актуальные вопросы. В Твиттере по тегу #ТБФорум можно найти немало прозвучавших тезисов и фотографии слайдов из презентаций, я же хотел бы остановиться на одном из вопросов, возникших ещё в конце прошлого года.

Приказом ФСТЭК России от 9 февраля 2016 г. №9 (зарегистрирован Минюстом России 25 марта 2016 г., регистрационный №41564) были утверждены Требования к межсетевым экранам, которые вступили в силу с 1 декабря 2016 г. и породили массу вопросов, особенно в связи с тем, что сертифицированных по новым требованиям межсетевых экранов практически не было, а ФСТЭК в своём информационном сообщении явно указывала, что:

…с 1 декабря 2016 г. разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать Требованиям.

С 1 декабря 2016 г. сертификация, а также инспекционный контроль серийного производства межсетевых экранов будут осуществляться только на соответствие Требованиям. В связи с этим с 1 июля 2016 г. ФСТЭК России не принимаются к рассмотрению заявки на сертификацию межсетевых экранов на соответствие иным требованиям.

Межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям.

Собственно, что надо было делать 2 декабря производителям, поставщикам и покупателям сертифицированных межсетевых экранов без новых сертификатов, было не до конца понятно. На поступавшие обращения ФСТЭК отвечала в частном порядке, но вот, наконец, все вопросы обобщили и подготовили соответствующее «Информационное сообщение по вопросам разработки, производства, поставки, применения и эксплуатации межсетевых экранов», приурочить которое хотели как раз к ТБ Форуму, но немного не успели и, в итоге, должны опубликовать его на этой неделе.

Информационное сообщение ФСТЭК по вопросам разработки, производства, поставки, применения и эксплуатации межсетевых экранов

Информационное сообщение ФСТЭК по вопросам разработки, производства, поставки, применения и эксплуатации межсетевых экранов

Тем не менее, основные моменты на ТБ Форуме уже рассказали. Суть позиции ФСТЭК примерно такова: Требования к межсетевым экранам позволяют отнести межсетевой экран к тому или иному классу, а вот требования к защите информации, содержащейся в информационной системе, это совсем другое. Определяются эти требования другими документами. Например, теми же приказами ФСТЭК №17, №21 и №31.

Таким образом, пока нет изменений в этих документах (а для 17-ого приказа как раз сейчас изменения готовятся) можно использовать межсетевые экраны, сертифицированные по старым требованиям. Виталий Лютиков явно сказал, что в противном случае все действующие сертификаты они бы просто аннулировали.

Итак, если вы сегодня:

  • разрабатываете/сертифицируете межсетевой экран — делайте это в соответствии с новыми требованиями;
  • производите/поставляете межсетевой экран — можете использовать старый МЭ (сертифицированный по старым требованиям), если у него есть действующий сертификат;
  • применяте межсетевой экран для защиты информации — можете применять старый МЭ, если документы, в рамках которых осуществляется защита информации, это позволяют (сейчас, до изменений, это позволяют все документы);
  • эксплуатируете старый межсетевой экран — можете продолжать это делать, пока действует его сертификат;
  • аттестуете информационную систему, в которой применяются старые межсетевые экраны — тоже можно, если соответствующие документы позволяют (опять-таки, сейчас пока позволяют);
  • хотите продлить сертификат на эксплуатируемый старый межсетевой экран — в частном порядке можете это сделать, но только если для него отсутствуют уязвимости, актуальные для той информационной системы, в которой он применяется.

Пока суть примерно такова, дождёмся официальной публикации Информационного сообщения — можно будет вчитаться в формулировки детальнее.

 

 

 

, , , , ,

No comments yet.

Добавить комментарий