Приказ ФСТЭК России №76 от 02.06.2020 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к СТЗИ и СОБИТ»
- Наименование: Приказ ФСТЭК России № 76 от 02.06.2020 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий»
- Tекст: [PDF с возможностью поиска]  [PDF]
Текст полностью не публиковался, доступно только общее описание содержания и выписка:
- Информационное сообщение ФСТЭК России от 15 октября 2020 г. N 240/24/4268
- Выписка из Требований по безопасности информации, утвержденных приказом ФСТЭК России от 2 июня 2020 г. N 76
Статус: зарегистрирован Минюстом России 11 сентября 2020 года
Обзор документа
- Документ предназначен для:
- организаций, осуществляющих в соответствии с законодательством РФ работы по созданию программных, программно-технических средств технической защиты информации, средств обеспечения безопасности информационных технологий, включая защищённые средства обработки информации (далее - средства),
- заявителей на осуществление сертификации,
- испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации.
-
Данный приказ отменяет Приказ ФСТЭК России №131 от 30.07.2018 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» с 01 января 2021 года.
- Частично приказ вступает в силу позже:
- с 1 января 2022: седьмой абзац пункта 12.2 и девятый абзац пункта 12.4;
- с 1 января 2024: пятый абзац пункта 12.5;
- с 1 января 2028: пятый абзац пункта 12.3.
-
Изготовителям средств, сертифицированных по схеме сертификации для серийного производства, необходимо привести средства в соответствие Требованиям и проинформировать об этом ФСТЭК России в целях переоформления сертификатов соответствия.
-
Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств, организуемых ФСТЭК России в пределах своих полномочий.
- Для дифференциации требований по безопасности информации к средствам устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.
- Средства, соответствующие 6 уровню доверия, применяются
- ЗО КИИ 3: в значимых объектах критической информационной инфраструктуры 3 категории,
- ГИС 3: в государственных информационных системах 3 класса защищенности,
- АСУПиТП 3: в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности,
- ИСПДн 3,4: в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.
- Средства, соответствующие 5 уровню доверия, применяются
- ЗО КИИ 2: в значимых объектах критической информационной инфраструктуры 2 категории,
- ГИС 2: в государственных информационных системах 2 класса защищенности,
- АСУПиТП 2:в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности,
- ИСПДн 2: в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.
- Средства, соответствующие 4 уровню доверия, применяются
- ЗО КИИ 1: в значимых объектах критической информационной инфраструктуры 1 категории,
- ГИС 1: в государственных информационных системах 1 класса защищенности,
- АСУПиТП 1:в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности,
- ИСПДн 1: в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.
- Средства, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
- Средства, соответствующие 6 уровню доверия, применяются
- Для дифференциации требований к исследованиям программного обеспечения средств по выявлению уязвимостей и недекларированных возможностей устанавливается 6 уровней контроля. Самый низкий уровень – шестой, самый высокий – первый. В соответствии с Требованиями средства должны проходить исследования по выявлению уязвимостей и недекларированных возможностей по уровню контроля, соответствующему уровню доверия:
- Средства, соответствующие 6 уровню доверия, должны проходить исследования по 6 уровню контроля,
- 5 уровню доверия – по 5 уровню контроля,
- 4 уровню доверия – по 4 уровню контроля,
- 3 уровню доверия – по 3 уровню контроля,
- 2 уровню доверия – по 2 уровню контроля,
- 1 уровню доверия – по 1 уровню контроля.
Порядок получения новых Требований описан на сайте ФСТЭК России: Порядок обеспечения документами ФСТЭК России.