В октябре 2020 года ФСТЭК России сообщила об изменениях в требованиях к уровням доверия для сертификации средств защиты информации. До конца ноября можно принять участие в общественном обсуждении нормативных актов, опубликованных Минцифры России в октябре и направленных на импортозамещение для объектов критической информационной инфраструктуры.
Новые требования к уровням доверия
Информационным сообщением от 15 октября 2020 г. № 240/24/4268 ФСТЭК России сообщает об утверждении новой редакции Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее – Требования к уровням доверия).
С 1 января 2021 г. признается утратившим силу предыдущая версия Требований к уровням доверия, установленных приказом ФСТЭК России от 30.07.2018 № 131. Новая версия Требований к уровням доверия утверждена Приказом ФСТЭК России от 02.06.2020 № 76 и вступает в силу с 1 января 2021 г., за исключением некоторых положений, вступающих в силу с 1 января 2022 г., 2024 г. и 2028 г.
Приказ ФСТЭК России от 02.06.2020 № 76, как и предыдущая версия Требований к уровням доверия, носит ограничительную пометку «ДСП». Отмечается, что Требования к уровням доверия предназначены для организаций, осуществляющих работы по созданию программных, программно-технических средств технической защиты информации, средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации (далее – средства), заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации. Однако применение Требований к уровням доверия с 1 января 2023 г. является обязательным в том числе при проведении работ по оценке соответствия в форме испытаний или приемки для средств защиты информации (далее – СрЗИ) значимых объектов критической информационной инфраструктуры (далее – КИИ).
Изготовителям средств, сертифицированных по схеме сертификации для серийного производства, необходимо привести средства в соответствие Требованиям к уровням доверия в сроки, установленные приказом ФСТЭК России от 02.06.2020 № 76, и проинформировать об этом ФСТЭК России для переоформления сертификатов соответствия.
Новая версия Требований к уровням доверия также вводит обязательность соответствия уровням контроля, соответствующим уровням доверия, которые определяют процессы исследования по выявлению уязвимостей и недекларированных возможностей.
Импортозамещение в критической информационной инфраструктуре
Минцифры России 29 октября 2020 г. представило к публичным обсуждениям Проект указа Президента Российской Федерации «О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры» (далее – Проект Указа). Предыдущая версия Проекта Указа размещалась для общественного обсуждения в мае 2020 г., текущая версия Проекта Указа представлена к публичному обсуждению до 26 ноября 2020 г.
Проектом Указа предусматривается наделение Правительства РФ полномочиями по утверждению требований к программному обеспечению (далее – ПО) и оборудованию, используемому на объектах КИИ, и порядка перехода на преимущественное использование российского ПО и оборудования. Под преимущественным использованием понимается приоритетное использование российского ПО и (или) оборудования при наличии соответствующих российских аналогов. При этом, как ни странно, по Проекту Указа такие требования Правительство РФ должно было утвердить до 1 сентября 2020 г.
По Проекту Указа субъекты КИИ должны будут до 1 января 2024 г. осуществить переход на преимущественное использование российского ПО и до 1 января 2025 г. осуществить переход на преимущественное использование российского оборудования.
К Проекту Указа прилагается проект постановления Правительства РФ, согласно которому надзорным органом по контролю использования субъектами КИИ российского ПО будет Минцифры России, а по использованию российского оборудования – Минпромторг России.
При этом при использовании и (или) планировании использования иностранного ПО и (или) оборудования на объектах КИИ субъект КИИ должен будет направить на согласование перечень такого ПО и (или) оборудования в соответствующий надзорный орган: в части ПО – в Минцифры России; в части оборудования – в Минпромторг России. Рассмотрение перечней ПО и (или) оборудования должно будет осуществляться совместно Минцифры России, Минпромторгом России, ФСБ России и ФСТЭК России, в течение 30 рабочих дней с момента поступления в уполномоченный орган перечней.
В конечном итоге, с учетом сроков перехода на преимущественное использование российского ПО и оборудования, установленных проектами, субъекту КИИ необходимо будет до 1 июля 2021 г. подготовить и утвердить план перехода на преимущественное использование российского ПО и (или) оборудования (далее – План). Копию Плана в течение 30 рабочих дней с момента его утверждения необходимо направить в Минцифры России и Минпромторг России.