Информационное сообщение ФСТЭК России №240-24-3057 от 23.06.2021 «Об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах»
- Наименование: Информационное сообщение ФСТЭК России от 23 июня 2021 г. N 240/24/3057 «Об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах»
- Дополнительные ссылки: [сайт ФСТЭК России]
- Tекст: [PDF с возможностью поиска]
Обзор документа
Информационным сообщением от 23 июня 2021 г. № 240/24/3057 ФСТЭК России сообщает об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах (далее – Требования). Требования утверждены Приказом ФСТЭК России от 16 февраля 2021 г. № 32. К средствам обеспечения безопасной дистанционной работы в информационных системах (ИС)/автоматизированных системах (АC) (далее – средства дистанционной работы) относятся средства защиты информации, использующие средства вычислительной техники, не входящие в состав указанных ИС/АС.
Требования носят ограничительную пометку «Для служебного пользования» и согласно информационному письму предназначены для организаций, осуществляющих работы по созданию средств дистанционной работы, а также для испытательных лабораторий и органов по сертификации. Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов РФ, органов местного самоуправления и организаций Требованиями производится в соответствии с Порядком обеспечения, размещенном на официальном сайте ФСТЭК России. Стоит также отметить, что в июне 2021 г. ФСТЭК России разместили на своем сайте обновленный методический материал об обеспечении методическими документами.
Средства дистанционной работы не имеют дифференциации и должны иметь единообразную конфигурацию в независимости от категории значимости объектов критической информационной инфраструктуры (КИИ), класса государственных информационных систем, класса защищенности автоматизированных систем управления производственными и/или технологическими процессами, уровня защищенности информационных систем персональных данных (ПДн).
Источник: Обзор изменений в законодательстве КИИ за июнь 2021
Текст документа
В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утверждённого Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, приказом ФСТЭК России от 16 февраля 2021 г. N 32 (зарегистрирован Минюстом России 15 июня 2021 г., регистрационный N 63867) утверждены Требования по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах (далее – Требования).
Указанный документ предназначен для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию программно-технических средств защиты информации, обеспечивающих безопасную дистанционную работу в информационной (автоматизированной) системе с использованием средств вычислительной техники, не входящих в состав указанной информационной (автоматизированной) системы (далее – средства дистанционной работы), заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации.
Требования включают минимально необходимые требования по безопасности информации, предъявляемые к составу средства дистанционной работы, конструкции защищенного носителя, среде функционирования средства дистанционной работы, уровню доверия средства дистанционной работы, средству доверенной загрузки средства дистанционной работы, операционной системе средства дистанционной работы, идентификации и аутентификации пользователей, идентификации и аутентификации средств вычислительной техники, управлению доступом в средстве дистанционной работы, администрированию и централизованному управлению средством дистанционной работы, контролю целостности средства дистанционной работы, регистрации и учету событий безопасности в средстве дистанционной работы.
При включении в средство дистанционной работы дополнительных функций безопасности требования к таким функциям безопасности должны быть заданы в технических условиях и оценены при проведении сертификации средства дистанционной работы.
Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55 “Об утверждении Положения о системе сертификации средств защиты информации”.
Средства дистанционной работы применяются в значимых объектах критической информационной инфраструктуры до 1 категории включительно, в государственных информационных системах до 1 класса защищенности включительно, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно, в информационных системах персональных данных при необходимости обеспечения безопасности персональных данных до 1 уровня защищенности включительно, в информационных системах общего пользования II класса.
Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций Требованиями производится в соответствии с Порядком обеспечения органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России, размещенном на официальном сайте ФСТЭК России www.fstec.ru в подразделе “Обеспечение документами” раздела “Документы”.