1 марта 2019 г. опубликован Проект приказа ФСТЭК России «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235» (далее – Проект приказа). С 1 по 15 марта прошли общественные обсуждения Проекта приказа. В ходе обсуждений было получено 10 предложений участников, 4 из которых были учтены ФСТЭК России.
Большая часть изменений в требованиях, исходя из опубликованного текста Проекта приказа после общественных обсуждений, касается субъектов критической информационной инфраструктуры (КИИ), имеющих обособленные подразделения (филиалы, представительства) или интегрированную структуру, в состав которой входят другие субъекты КИИ.
Проект приказа устанавливает требования к образованию руководителя и штатных работников структурного подразделения по безопасности, а также требования по проведению периодической программы повышения квалификации для данных лиц. При этом, именно эти требования предлагается ввести в силу с 1 января 2021 г. А контроль состояния безопасности значимых объектов КИИ, являющийся на данный момент ежегодный, по Проекту приказа должен будет проводиться не реже, чем раз в 3 года.
Следом, 6 марта 2019 г. ФСТЭК России опубликовало Проект приказа «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239» (далее – Проект приказа). Общественные обсуждения этого Проекта приказа проходили с 6 марта по 20 марта. Было получено 4 предложения участников общественного обсуждения, ни одно из которых не было учтено.
Текст Проекта приказа, доработанный по итогам обсуждения, в основном имеет уточняющий характер для тех формулировок Приказа № 239, которые имели неоднозначное значение. Подверглись изменениям меры по обеспечению безопасности значимого объекта КИИ. Например, управление сетевыми потоками предлагается сделать обязательной процедурой для всех значимых объектов критической информационной инфраструктуры (КИИ).
Также Проектом приказа предлагается внести корректировки к требованиям сертификации средств защиты информации (СрЗИ), если такие применяются на значимом объекте КИИ:
- для значимых объектов КИИ 1 категории – СрЗИ соответствующие 4 или более высокому уровню доверия;
- для значимых объектов КИИ 2 категории – СрЗИ соответствующие 5 или более высокому уровню доверия;
- для значимых объектов КИИ 3 категории – СрЗИ соответствующие 6 или более высокому уровню доверия.
При этом именно этот раздел требований предлагается ввести в силу с 1 января 2020 г.
ФСТЭК России и требования доверия
На федеральном портале проектов нормативных правовых актов 25 марта 2019 был создан Проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17» (далее – Проект приказа). С 25 марта по 8 апреля прошли общественные обсуждения Проекта приказа.
Самым интересным в Проекте приказа является введение нового абзаца с требованиями к сертифицированным средствам защиты информации. Полностью исключаются упоминания об уровнях контроля отсутствия недекларированных возможностей (НДВ), а на место НДВ встаёт сертификации по уровням доверия.
Информационное сообщение рассказывает о требованиях по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее – Требования к уровням доверия). Требования к уровню доверия были утверждены приказом ФСТЭК России от 30 июля 2018г. №131 и вступили в силу с 1 августа 2018 г., а с 1 июня 2019 г. обязательны при сертификации средств защиты информации (СрЗИ).
С 1 июня 2019 г. ФСТЭК России больше не будет принимать на рассмотрение сертификацию СрЗИ по уровню контроля отсутствия НДВ. Так как в соответствии с Требованиями к уровню доверия и утверждённой 11 февраля 2019 г. Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении (далее — Методика) устанавливаются обязательные к соответствию уровни контроля по выявлению уязвимостей и НДВ.
Выполнение Требований к уровню доверия является обязательным при проведении работ по сертификации СрЗИ. Согласно информационному письму устанавливается 6 уровней доверия. Самый низкий – шестой, самый высокий – первый. Аналогично и с уровнями контроля по выявлению уязвимостей и НДВ.
СрЗИ, соответствующие уровню доверия | Класс систем, требующий применения соответствующих СрЗИ | Уровни контроля по выявлению уязвимостей и НДВ |
| 6 уровень доверия |
| 6 уровень контроля |
| 5 уровень доверия |
| 5 уровень контроля |
| 4 уровень доверия |
| 4 уровень контроля |
| 3 уровень доверия | ИС и АС, обрабатывающие информацию, содержащую сведения ГТ | 3 уровень контроля |
| 2 уровень доверия | ИС и АС, обрабатывающие информацию, содержащую сведения ГТ | 2 уровень контроля |
| 1 уровень доверия | ИС и АС, обрабатывающие информацию, содержащую сведения ГТ | 1 уровень контроля |
Разработчикам и производителям СрЗИ рекомендуется провести оценку соответствия Требованиям к уровням доверия и представить результаты во ФСТЭК России для переоформления сертификатов. Действие сертификатов соответствия СрЗИ, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г., может быть приостановлено.