Информационное сообщение ФСТЭК России от 30.07.2012 № 240/24/3095 "Об утверждении Требований к средствам антивирусной защиты"
В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, приказом ФСТЭК России от 20 марта 2012 г. № 28 (зарегистрирован Минюстом России 3 мая 2012 г., рег. № 24045) утверждены Требования к средствам антивирусной защиты (далее - Требования), которые вступают в действие с 1 августа 2012 г.
Требования к средствам антивирусной защиты применяются к программным средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом.
Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.
Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, организуемых ФСТЭК России в пределах своих полномочий.
Требования к средствам антивирусной защиты включают общие требования к средствам антивирусной защиты и требования к функциям безопасности средств антивирусной защиты.
Для дифференциации требований к функциям безопасности средств антивирусной защиты установлено шесть классов защиты средств антивирусной защиты. Самый низкий класс - шестой, самый высокий - первый.
Средства антивирусной защиты, соответствующие 6 классу защиты, применяются в информационных системах персональных данных 3 и 4 классов1).
Средства антивирусной защиты, соответствующие 5 классу защиты, применяются в информационных системах персональных данных 2 класса2).
Средства антивирусной защиты, соответствующие 4 классу защиты, применяются в государственных информационных системах, в которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну, в информационных системах персональных данных 1 класса3), а также в информационных системах общего пользования II класса4).
Средства антивирусной защиты, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
Также выделяются следующие типы средств антивирусной защиты:
тип «А» - средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах);
тип «Б» - средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на серверах информационных систем;
тип «В» - средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автоматизированных рабочих местах информационных систем;
тип «Г» - средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автономных автоматизированных рабочих местах.
Средства антивирусной защиты типа «А» не применяются в информационных системах самостоятельно и предназначены для использования только совместно со средствами антивирусной защиты типов «Б» и (или) «В».
Детализация требований к функциям безопасности, установленным Требованиями, а также взаимосвязи этих требований приведены для каждого класса и типа средств антивирусной защиты в профилях защиты, утвержденных 14 июня 2012 г. ФСТЭК России в качестве методических документов в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
Спецификация профилей защиты средств антивирусной защиты для каждого типа средства антивирусной защиты и класса защиты средства антивирусной защиты приведена в таблице.
Тип средства антивирусной защиты | Класс защиты | |||||
---|---|---|---|---|---|---|
6 | 5 | 4 | 3 | 2 | 1 | |
тип «А» | ИТ.САВЗ. А6.ПЗ | ИТ.САВЗ. А5.ПЗ | ИТ.САВЗ. А4.ПЗ | ИТ.САВЗ. А3.ПЗ | ИТ.САВЗ. А2.ПЗ | ИТ.САВЗ. А1.ПЗ |
тип «Б» | ИТ.САВЗ. Б6.ПЗ | ИТ.САВЗ. Б5.ПЗ | ИТ.САВЗ. Б4.ПЗ | ИТ.САВЗ. Б3.ПЗ | ИТ.САВЗ. Б2.ПЗ | ИТ.САВЗ. Б1.ПЗ |
тип «В» | ИТ.САВЗ. В6.ПЗ | ИТ.САВЗ. В5.ПЗ | ИТ.САВЗ. В4.ПЗ | ИТ.САВЗ. В3.ПЗ | ИТ.САВЗ. В2.ПЗ | ИТ.САВЗ. В1.ПЗ |
тип «Г» | ИТ.САВЗ. Г6.ПЗ | ИТ.САВЗ. Г5.ПЗ | ИТ.САВЗ. Г4.ПЗ | ИТ.САВЗ. Г3.ПЗ | ИТ.САВЗ. Г2.ПЗ | ИТ.САВЗ. Г1.ПЗ |
Таким образом, с 1 августа 2012 г. сертификация средств защиты информации, реализующих функции антивирусной защиты, в системе сертификации ФСТЭК России проводится на соответствие Требованиям к средствам антивирусной защиты, утвержденным приказом ФСТЭК России от 20 марта 2012 г. № 28.
Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций Требованиями к средствам антивирусной защиты, утвержденными приказом ФСТЭК России от 20 марта 2012 г. № 28, а также методическими документами ФСТЭК России, содержащими профили защиты средств антивирусной защиты 1, 2 и 3 классов защиты, производится в соответствии с Временным порядком обеспечения органов государственной власти Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России (www.fstec.ru).
Методические документы ФСТЭК России, содержащие профили защиты средств антивирусной защиты 4, 5 и 6 классов защиты размещены на официальном сайте ФСТЭК России www.fstec.ru в разделе «Информационно-справочная система по документам в области технической защиты информации. Документы по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации».
Начальник 2 управления
ФСТЭК России
А.Куц