Верхнее

Приказ ФСТЭК России №131 от 30.07.2018 «Об утверждении Требований по безопасности информации, устанавливающие уровни доверия к СТЗИ и СОБИТ»

Наименование: Приказ ФСТЭК России №131 от 30.07.2018 «Об утверждении Требований по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий»

Текст (не публиковался):

Обзор документа

«Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» утверждены приказом ФСТЭК России от 30 июля 2018 г. No 131, приказ зарегистрирован Минюстом России 14 ноября 2018 г. No 52686, вступил в силу с 1 августа 2018 г., применяется при проведении сертификационных испытаний с 1 мая 2019 г.

Требования доверия являются обязательными требованиями в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа.

Требования доверия применяются к программным и программно-техническим средствам технической защиты информации (СТЗИ), средствам обеспечения безопасности информационных технологий (СОБИТ), включая защищенные средства обработки информации.

Требования доверия устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа.

Уровни доверия

Устанавливается 6 уровней доверия. Самый низкий уровень – 6, самый высокий – 1. Уровням доверия поставлены в соответствие определённые классы защиты СЗИ, категории значимых объектов КИИ (ЗО КИИ), классы ГИС, АСУТП, ИСОП и уровни ИСПДн.

  • Уровень доверия 4:
    • Классы защиты СЗИ 4;
    • ЗО КИИ 1 категории;
    • ГИС 1 класса;
    • АСУТП 1 класса;
    • ИСПДн 1 уровня;
    • ИСОП II класса;
  • Уровень доверия 5:
    • Классы защиты СЗИ 5;
    • ЗО КИИ 2 категории;
    • ГИС 2 класса;
    • АСУТП 2 класса;
    • ИСПДн 2 уровня;
  • Уровень доверия 6:
    • Классы защиты СЗИ 6;
    • ЗО КИИ 3 категории;
    • ГИС 3 класса;
    • АСУТП 3 класса;
    • ИСПДн 3 и 4 уровня
  • Средства защиты информации, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Содержание требований доверия

Содержание Требований доверия

Содержание Требований доверия

Требования к обновлению средств соответствующего уровня доверия

  • Требования к обновлению средства, соответствующего 6 уровню доверия
    • 89. Обновление средства должно предусматривать:
      • информирование потребителей средства о выпуске обновлений;
      • обеспечение возможности получения обновления средства способами, обеспечивающими его целостность.
  • Требования к обновлению средства, соответствующего 5 уровню доверия
    • 93. Наряду с требованиями к обновлению средства, установленными пунктом 89 настоящих Требований, дополнительно предъявляются следующие требования:
      • в случае получения обновления средства по сетям связи средство должно получать такие обновления с информационного ресурса заявителя;
      • при доведении обновлений средства до потребителей должны обеспечиваться подлинность и целостность обновлений за счет применения электронной цифровой подписи.
  • Требования к обновлению средства, соответствующего 4 уровню доверия
    • 97. Наряду с требованиями к обновлению средства, установленными пунктом 93 настоящих Требований, доведение информации о выпуске обновлений средства должно осуществляться до каждого потребителя сертифицированного средства путем отправки сообщений на электронные адреса потребителей или за счет применения компонента средства, обеспечивающего доведение указанной информации до потребителя автоматически.

Порядок применения Требований доверия

  • Требования к уровню доверия подлежат применению при сертификации средств защиты информации с 1 июня 2019 г.
  • В связи с утверждением Требований к уровню доверия с 1 июня 2019 г. ФСТЭК России не принимаются к рассмотрению заявки на сертификацию средств защиты информации на соответствие требованиям руководящего документа «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».
  • Кроме того, до внесения соответствующих изменений в нормативные правовые акты ФСТЭК России, устанавливающие требования по безопасности информации к средствам защиты информации, с 1 июня 2019 г. при сертификации не подлежат применению пункт 22 Требований к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. N 638, пункт 22 Требований к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. N 28, пункт 18 Требования к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27 сентября 2013 г. N 119, пункт 17 Требований к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2014 г. N 87, пункт 20 Требований к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. N 9, пункт 18 Требований безопасности информации к операционным системам, утвержденных приказом ФСТЭК России от 19 августа 2016 г. N 119.
  • Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия. Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено.

Выявление уязвимостей и недекларированных возможностей

  • В соответствии с главой IV Требований к уровням доверия в отношении средств защиты информации должны быть проведены испытания по выявлению уязвимостей и недекларированных возможностей.
  • В целях реализации указанного требования в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, ФСТЭК России разработана и утверждена 11 февраля 2019 г. Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении (далее — Методика).
  • В соответствии с Требованиями к уровням доверия и Методикой для дифференциации требований к исследованиям программного обеспечения средств защиты информации по выявлению уязвимостей и недекларированных возможностей устанавливается 6 уровней контроля. Самый низкий уровень – шестой, самый высокий – первый.
  • Средства защиты информации,
    • соответствующие 6 уровню доверия, проходят исследования по 6 уровню контроля,
    • соответствующие 5 уровню доверия – по 5 уровню контроля,
    • соответствующие 4 уровню доверия – по 4 уровню контроля,
    • соответствующие 3 уровню доверия – по 3 уровню контроля,
    • соответствующие 2 уровню доверия – по 2 уровню контроля,
    • соответствующие 1 уровню доверия – по 1 уровню контроля.

Дополнительный источник: Презентация Шевцова Дмитрия Николаевича, начальника управления ФСТЭК России

, , ,

Популярные комментарии

  1. Алексей Лукацкий: Новые требования ФСТЭК по сертификации еще больше сужают рынок средств защиты
    Вчера на сайте ФСТЭК было опубликовано информационное сообщение об утверждении требований по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Данный документ вступает в силу с 1-го июня 2019 года и приходит на смену РД на НДВ, который по сути прекращает свое действие. Новые требования по доверию, о которых ФСТЭК говорила уже давно, являются обязательными для всех разработчиков средств защиты и заявителей на сертификацию ФСТЭК. Уже становится традицией, что этот документ, а также идущая с ним в паре методика выявления уязвимостей и недекларированных возможностей, носят пометку “для служебного пользования” и широкому кругу лиц недоступны. https://lukatsky.blogspot.com/2019/04/blog-post_3.html

Продолжить обсуждение здесь: rucybersecurity.ru

Участники