О совершенствовании в 2020 году нормативной базы ФСТЭК России, устанавливающей требования к сертификации средств защиты информации и аттестации объектов информатизации
27.02.2020
Булаев Михаил Александрович, ведущий консультант-аналитик
12 февраля 2020 года в рамках ТБ-Форума состоялась X Конференция «Актуальные вопросы защиты информации», проводимая ФСТЭК России. На конференции представители ФСТЭК России рассказали о планируемых в ближайшее время изменениях нормативной базы в области сертификации средств защиты информации и аттестации объектов информатизации. Ниже приводится обзор планируемых изменений.
- Повышение требований по безопасности к аппаратным платформам средств защиты информации (СЗИ)
В рамках совершенствования требований доверия к средствам защиты информации при их сертификации подготовлен проект изменений в «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации», утверждённые приказом ФСТЭК России от 30 июля 2018 г. № 131.
Планируемые требования к аппаратным платформам средств защиты информации и сроки их реализации представлены в таблице ниже.
Таблица: Требования по применению в СЗИ отечественных аппаратных платформ
| Уровень доверия, класс защиты СЗИ
|
Дополнительные требования к аппаратным платформам средств защиты информации |
| 4 | Сведения о процессорах или микросхемах, выполняющих функции процессоров (микроконтроллеры), элементах памяти, сетевых картах, графических адаптерах аппаратной платформы должны быть включены в Единый реестр российской радиоэлектронной продукции (требование вступает в силу с 1 января 2028 г.) |
| 5 | Сведения об аппаратной платформе средства должны быть включены в Единый реестр российской радиоэлектронной продукции (требование вступает в силу с 1 января 2022 г.) |
| 6 | Требования по применению отечественных аппаратных платформ не предъявляются |
- Планируется уменьшить сроки проведения сертификации СЗИ, в том числе:
- сокращение срока принятия решения о проведении сертификации с 1-го месяца до 20 календарных дней;
- предварительное рассмотрение документации на СЗИ по срокам объединить с процедурой рассмотрения Программы и методики сертификационных испытаний;
- срок рассмотрения ПМИ уменьшить с 60-ти до 50-ти календарных дней;
- срок проведения экспертизы материалов сертификационных испытаний уменьшить с 45-ти до 30-ти календарных дней.
Соответствующие изменения будут внесены в «Положение о системе сертификации средств защиты информации» ФСТЭК России.
- В части срока действия сертификатов соответствия, выданных ФСТЭК России, получены следующие разъяснения:
1. Согласно действующему Положению о системе сертификации средств защиты информации, срок действия сертификата не может превышать 5 лет. Сертификат выдаётся производителю СЗИ, что даёт ему право производить сертифицированные СЗИ в период срока действия сертификата.
2. Пользователь СЗИ имеет право применять СЗИ по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления производителем его технической поддержки. Информация о сроке технической поддержки СЗИ отражается в столбце «Информация об окончании срока технической поддержки» Государственного реестра сертифицированных средств защиты информации (https://fstec.ru).
3. Соответствующая информация о сроке технической поддержки, отражённая в Государственном реестре сертифицированных средств защиты информации, должна учитываться при аттестации объектов, на которых установлены СЗИ. В том числе аттестат должен выдаваться и при окончании срока действия сертификатов на СЗИ, но в течение периода их поддержки производителем.
4. К 1.06.2020 г. для производимых СЗИ, сертифицированных по старым требованиям, должны быть переоформлены по новым требованиям доверия ранее выданные сертификаты соответствия. В случае невыполнения этого требования ФСТЭК России с 1.06.2020 г. может аннулировать непереоформленные сертификаты.
- Совершенствование функциональных требований к средствам защиты информации
В 2020 году планируется введение в действие следующих нормативных документов, устанавливающих требования к средствам защиты информации:
1. Новая редакция требований к средствам антивирусной защиты.
2. Требования к системам управления базами данных.
3. Требования к средствам управления потоками информации (маршрутизаторы и др.).
- Ужесточение требований к внедрению процедур разработки безопасного программного обеспечения
ФСТЭК России анонсировала в 2020 г. в рамках деятельности Подкомитета 4 Технического комитета 362 следующие изменения в области стандартизации:
1. пересмотр ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
2. подготовку комплекса национальных стандартов, детализирующих процесс разработки и оценки безопасного программного обеспечения, в том числе:
- ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по разработке безопасного программного обеспечения»;
- ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению статического анализа. Общие требования»;
- ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Доверенный компилятор языков Си/Си++. Общие требования»;
- ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Управление безопасностью программного обеспечения при использовании заимствованных и привлекаемых компонентов»;
- ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по оценке безопасности разработки безопасного программного обеспечения».
Кроме того, планируется внесение уточнений в «Методику выявления уязвимостей и недекларированных возможностей в программном обеспечении», утверждённую ФСТЭК России 11 февраля 2019 г.
- Совершенствование порядка и процедур аттестации объектов информатизации
ФСТЭК России до 1 сентября 2020 г. планирует принять меры по уточнению порядка аттестации объектов информатизации, информационных и автоматизированных систем на соответствие требованиям по защите информации, а также требований к форме и содержанию материалов аттестационных испытаний, в том числе включающие:
1. Детализацию процедур аттестации, установление сроков их проведения.
2. Установление требований к форме и содержанию материалов аттестационных испытаний, эксплуатационной документации.
3. Учёт особенностей аттестации сложных, распределённых информационных систем.
4. Контроль ФСТЭК России за соблюдением порядка аттестации.