Приказ ФСТЭК России №76 от 02.06.2020 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к СТЗИ и СОБИТ»

  • Наименование: Приказ ФСТЭК России № 76 от 02.06.2020 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий»
  • Tекст: [PDF с возможностью поиска]  [PDF]

Текст полностью не публиковался, доступно только общее описание содержания и выписка:

Статус: зарегистрирован Минюстом России 11 сентября 2020 года

Обзор документа

  • Документ предназначен для:
    • организаций, осуществляющих в соответствии с законодательством РФ работы по созданию программных, программно-технических средств технической защиты информации, средств обеспечения безопасности информационных технологий, включая защищённые средства обработки информации (далее - средства),
    • заявителей на осуществление сертификации,
    • испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации.

  • Данный приказ отменяет Приказ ФСТЭК России №131 от 30.07.2018 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» с 01 января 2021 года.

  • Частично приказ вступает в силу позже:
    • с 1 января 2022: седьмой абзац пункта 12.2 и девятый абзац пункта 12.4;
    • с 1 января 2024: пятый абзац пункта 12.5;
    • с 1 января 2028: пятый абзац пункта 12.3.

  • Изготовителям средств, сертифицированных по схеме сертификации для серийного производства, необходимо привести средства в соответствие Требованиям и проинформировать об этом ФСТЭК России в целях переоформления сертификатов соответствия.

  • Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств, организуемых ФСТЭК России в пределах своих полномочий.

  • Для дифференциации требований по безопасности информации к средствам устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.
    • Средства, соответствующие 6 уровню доверия, применяются
      • ЗО КИИ 3: в значимых объектах критической информационной инфраструктуры 3 категории,
      • ГИС 3: в государственных информационных системах 3 класса защищенности,
      • АСУПиТП 3: в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности,
      • ИСПДн 3,4: в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.
    • Средства, соответствующие 5 уровню доверия, применяются
      • ЗО КИИ 2: в значимых объектах критической информационной инфраструктуры 2 категории,
      • ГИС 2: в государственных информационных системах 2 класса защищенности,
      • АСУПиТП 2:в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности,
      • ИСПДн 2: в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.
    • Средства, соответствующие 4 уровню доверия, применяются
      • ЗО КИИ 1: в значимых объектах критической информационной инфраструктуры 1 категории,
      • ГИС 1: в государственных информационных системах 1 класса защищенности,
      • АСУПиТП 1:в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности,
      • ИСПДн 1: в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.
    • Средства, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
  • Для дифференциации требований к исследованиям программного обеспечения средств по выявлению уязвимостей и недекларированных возможностей устанавливается 6 уровней контроля. Самый низкий уровень – шестой, самый высокий – первый. В соответствии с Требованиями средства должны проходить исследования по выявлению уязвимостей и недекларированных возможностей по уровню контроля, соответствующему уровню доверия:
    • Средства, соответствующие 6 уровню доверия, должны проходить исследования по 6 уровню контроля,
    • 5 уровню доверия – по 5 уровню контроля,
    • 4 уровню доверия – по 4 уровню контроля,
    • 3 уровню доверия – по 3 уровню контроля,
    • 2 уровню доверия – по 2 уровню контроля,
    • 1 уровню доверия – по 1 уровню контроля.

Порядок получения новых Требований описан на сайте ФСТЭК России: Порядок обеспечения документами ФСТЭК России.

Просмотр текста