Требования доверия фстэк информационное сообщение

Обновлено: 02.07.2024

УТВЕРЖДЕНЫ
приказом ФСТЭК России
от 2 июня 2020 года N 76

Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (выписка)

I. Общие положения

1. Настоящие Требования являются обязательными требованиями в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (далее - требования по безопасности информации), применяются к программным и программно-техническим средствам технической защиты информации, средствам обеспечения безопасности информационных технологий, включая защищенные средства обработки информации (далее - средства), и устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа, а также для обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (далее - уровни доверия).

3. Выполнение настоящих Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55 "Об утверждении Положения о системе сертификации средств защиты информации".

II. Общие требования по безопасности информации

4. Для дифференциации требований по безопасности информации к средствам устанавливается 6 уровней доверия. Самый низкий уровень - шестой, самый высокий - первый.

Средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищенности**, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности***, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных****.

Средства, соответствующие 5 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 2 категории*, в государственных информационных системах 2 класса защищенности**, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности***, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных****.

Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории*, в государственных информационных системах 1 класса защищенности**, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности***, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных****, в информационных системах общего пользования II класса*****.

5. При проведении сертификации средства защиты информации должно быть подтверждено соответствие средства настоящим Требованиям.

Устанавливается следующее соответствие классов средств защиты информации и средств вычислительной техники уровням доверия:

средства защиты информации 6 класса должны соответствовать 6 уровню доверия;

средства защиты информации 5 класса должны соответствовать 5 уровню доверия;

средства защиты информации 4 класса и средства вычислительной техники 5 класса должны соответствовать 4 уровню доверия.

6. Средство соответствует уровню доверия, если оно удовлетворяет требованиям к разработке и производству средства, проведению испытаний средства, поддержке безопасности средства, приведенным в таблице 1.

Выписка из Требований по безопасности информации, утвержденных приказом ФСТЭК России от 2 июня 2020 г. N 76

приказом ФСТЭК России

от 2 июня 2020 г. N 76

(выписка)

I. Общие положения

1. Настоящие Требования являются обязательными требованиями в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (далее – требования по безопасности информации), применяются к программным и программно-техническим средствам технической защиты информации, средствам обеспечения безопасности информационных технологий, включая защищенные средства обработки информации (далее – средства), и устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа, а также для обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (далее – уровни доверия).

II. Общие требования по безопасности информации

4. Для дифференциации требований по безопасности информации к средствам устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.

Средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории * , в государственных информационных системах 3 класса защищенности ** , в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности *** , в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных **** .

Средства, соответствующие 5 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 2 категории * , в государственных информационных системах 2 класса защищенности ** , в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности *** , в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных **** .

Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории*, в государственных информационных системах 1 класса защищенности ** , в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности *** , в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных **** , в информационных системах общего пользования II класса ***** .

средства защиты информации 6 класса должны соответствовать 6 уровню доверия;

средства защиты информации 5 класса должны соответствовать 5 уровню доверия;

от 29 марта 2019 г. N 240/24/1525

Требования к уровням доверия предназначены для разработчиков и производителей программных и программно-технических (программно-аппаратных) средств защиты информации, средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации (далее – средства защиты информации), заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты на соответствие требованиям по безопасности информации.

Выполнение Требований к уровню доверия является обязательным при проведении работ по сертификации средств защиты информации, организуемых ФСТЭК России в пределах своих полномочий.

Требования к уровням доверия устанавливают требования к разработке и производству средств защиты информации, к проведению испытаний средств защиты информации, а также к поддержке безопасности средств защиты информации в ходе их применения. Для дифференциации указанных требований устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.

Средства защиты информации, соответствующие 6 уровню доверия, подлежат применению в значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.

Средства защиты информации, соответствующие 5 уровню доверия, подлежат применению в значимых объектах критической информационной инфраструктуры 2 категории, в государственных информационных системах 2 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.

Средства защиты информации, соответствующие 4 уровню доверия, подлежат применению в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.

Средства защиты информации, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Требования к уровню доверия подлежат применению при сертификации средств защиты информации с 1 июня 2019 г.

В связи с утверждением Требований к уровню доверия с 1 июня 2019 г. ФСТЭК России не принимаются к рассмотрению заявки на сертификацию средств защиты информации на соответствие требованиям руководящего документа "Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей".

Кроме того, до внесения соответствующих изменений в нормативные правовые акты ФСТЭК России, устанавливающие требования по безопасности информации к средствам защиты информации, с 1 июня 2019 г. при сертификации не подлежат применению пункт 22 Требований к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. N 638, пункт 22 Требований к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. N 28, пункт 18 Требования к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27 сентября 2013 г. N 119, пункт 17 Требований к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2014 г. N 87, пункт 20 Требований к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. N 9, пункт 18 Требований безопасности информации к операционным системам, утвержденных приказом ФСТЭК России от 19 августа 2016 г. N 119.

Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия. Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено.

В соответствии с главой IV Требований к уровням доверия в отношении средств защиты информации должны быть проведены испытания по выявлению уязвимостей и недекларированных возможностей.

В целях реализации указанного требования в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, ФСТЭК России разработана и утверждена 11 февраля 2019 г. Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении (далее — Методика).

В соответствии с Требованиями к уровням доверия и Методикой для дифференциации требований к исследованиям программного обеспечения средств защиты информации по выявлению уязвимостей и недекларированных возможностей устанавливается 6 уровней контроля. Самый низкий уровень – шестой, самый высокий – первый.

Средства защиты информации, соответствующие 6 уровню доверия, проходят исследования по 6 уровню контроля, средства защиты информации, соответствующие 5 уровню доверия – по 5 уровню контроля, средства защиты информации, соответствующие 4 уровню доверия – по 4 уровню контроля, средства защиты информации, соответствующие 3 уровню доверия – по 3 уровню контроля, средства защиты информации, соответствующие 2 уровню доверия – по 2 уровню контроля, средства защиты информации, соответствующие 1 уровню доверия – по 1 уровню контроля.

II. Общие требования по безопасности информации

Средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории , в государственных информационных системах 3 класса защищенности , в автоматизированных системах управления производственными и технологическими процесса 3 класса защищенности , в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных .

Статья 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736), Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 (Собрание законодательства Российской Федерации, 2018, N 8, ст. 1204; 2019, N 16, ст. 1955).

Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

Средства, соответствующие 5 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 2 категории , в государственных информационных системах 2 класса защищенности , в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности , в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных .

Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории , в государственных информационных системах 1 класса защищенности , в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности , в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных , в информационных системах общего пользования II класса .

средства защиты информации 6 класса должны соответствовать 6 уровню доверия;

средства защиты информации 5 класса должны соответствовать 5 уровню доверия;

Читайте также: