Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • О совершенствовании в 2020 году нормативной базы ФСТЭК России, устанавливающей требования к сертификации средств защиты информации и аттестации объектов информатизации

    27.02.2020
    Булаев Михаил Александрович, ведущий консультант-аналитик

    12 февраля 2020 года в рамках ТБ-Форума состоялась X Конференция «Актуальные вопросы защиты информации», проводимая ФСТЭК России. На конференции представители ФСТЭК России рассказали о планируемых в ближайшее время изменениях нормативной базы в области сертификации средств защиты информации и аттестации объектов информатизации. Ниже приводится обзор планируемых изменений.

    • Повышение требований по безопасности к аппаратным платформам средств защиты информации (СЗИ)
    В рамках совершенствования требований доверия к средствам защиты информации при их сертификации подготовлен проект изменений в «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации», утверждённые приказом ФСТЭК России от 30 июля 2018 г. № 131.
    Планируемые требования к аппаратным платформам средств защиты информации и сроки их реализации представлены в таблице ниже.

    Таблица: Требования по применению в СЗИ отечественных аппаратных платформ
    Уровень доверия, класс защиты СЗИ

    Дополнительные требования к аппаратным платформам средств защиты информации
    4Сведения о процессорах или микросхемах, выполняющих функции процессоров (микроконтроллеры), элементах памяти, сетевых картах, графических адаптерах аппаратной платформы должны быть включены в Единый реестр российской радиоэлектронной продукции (требование вступает в силу с 1 января 2028 г.)
    5Сведения об аппаратной платформе средства должны быть включены в Единый реестр российской радиоэлектронной продукции (требование вступает в силу с 1 января 2022 г.)
    6Требования по применению отечественных аппаратных платформ не предъявляются






    • Планируется уменьшить сроки проведения сертификации СЗИ, в том числе:
         - сокращение срока принятия решения о проведении сертификации с 1-го месяца до 20 календарных дней;
         - предварительное рассмотрение документации на СЗИ по срокам объединить с процедурой рассмотрения Программы и методики сертификационных испытаний;
         - срок рассмотрения ПМИ уменьшить с 60-ти до 50-ти календарных дней;
         - срок проведения экспертизы материалов сертификационных испытаний уменьшить с 45-ти до 30-ти календарных дней.
    Соответствующие изменения будут внесены в «Положение о системе сертификации средств защиты информации» ФСТЭК России.

    • В части срока действия сертификатов соответствия, выданных ФСТЭК России, получены следующие разъяснения:
    1. Согласно действующему Положению о системе сертификации средств защиты информации, срок действия сертификата не может превышать 5 лет. Сертификат выдаётся производителю СЗИ, что даёт ему право производить сертифицированные СЗИ в период срока действия сертификата.
    2. Пользователь СЗИ имеет право применять СЗИ по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления производителем его технической поддержки. Информация о сроке технической поддержки СЗИ отражается в столбце «Информация об окончании срока технической поддержки» Государственного реестра сертифицированных средств защиты информации (https://fstec.ru).
    3. Соответствующая информация о сроке технической поддержки, отражённая в Государственном реестре сертифицированных средств защиты информации, должна учитываться при аттестации объектов, на которых установлены СЗИ. В том числе аттестат должен выдаваться и при окончании срока действия сертификатов на СЗИ, но в течение периода их поддержки производителем.
    4. К 1.06.2020 г. для производимых СЗИ, сертифицированных по старым требованиям, должны быть переоформлены по новым требованиям доверия ранее выданные сертификаты соответствия. В случае невыполнения этого требования ФСТЭК России с 1.06.2020 г. может аннулировать непереоформленные сертификаты.

    • Совершенствование функциональных требований к средствам защиты информации
    В 2020 году планируется введение в действие следующих нормативных документов, устанавливающих требования к средствам защиты информации:
    1. Новая редакция требований к средствам антивирусной защиты.
    2. Требования к системам управления базами данных.
    3. Требования к средствам управления потоками информации (маршрутизаторы и др.).

    • Ужесточение требований к внедрению процедур разработки безопасного программного обеспечения
    ФСТЭК России анонсировала в 2020 г. в рамках деятельности Подкомитета 4 Технического комитета 362 следующие изменения в области стандартизации:
    1. пересмотр ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
    2. подготовку комплекса национальных стандартов, детализирующих процесс разработки и оценки безопасного программного обеспечения, в том числе:
          - ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по разработке безопасного программного обеспечения»;
          - ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению статического анализа. Общие требования»;
          - ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Доверенный компилятор языков Си/Си++. Общие требования»;
          - ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Управление безопасностью программного обеспечения при использовании заимствованных и привлекаемых компонентов»;
          - ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по оценке безопасности разработки безопасного программного обеспечения».

    Кроме того, планируется внесение уточнений в «Методику выявления уязвимостей и недекларированных возможностей в программном обеспечении», утверждённую ФСТЭК России 11 февраля 2019 г.

    • Совершенствование порядка и процедур аттестации объектов информатизации
    ФСТЭК России до 1 сентября 2020 г. планирует принять меры по уточнению порядка аттестации объектов информатизации, информационных и автоматизированных систем на соответствие требованиям по защите информации, а также требований к форме и содержанию материалов аттестационных испытаний, в том числе включающие:
    1. Детализацию процедур аттестации, установление сроков их проведения.
    2. Установление требований к форме и содержанию материалов аттестационных испытаний, эксплуатационной документации.
    3. Учёт особенностей аттестации сложных, распределённых информационных систем.
    4. Контроль ФСТЭК России за соблюдением порядка аттестации.

    Возврат к списку