Информационное сообщение ФСТЭК России от 23.06.2021 № 240/24/3057 "Об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах"

В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утверждённого Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, приказом ФСТЭК России от 16 февраля 2021 г. № 32 (зарегистрирован Минюстом России 15 июня 2021 г., регистрационный № 63867) утверждены Требования по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах (далее – Требования).

Указанный документ предназначен для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию программно-технических средств защиты информации, обеспечивающих безопасную дистанционную работу в информационной (автоматизированной) системе с использованием средств вычислительной техники, не входящих в состав указанной информационной (автоматизированной) системы (далее – средства дистанционной работы), заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации.

Требования включают минимально необходимые требования по безопасности информации, предъявляемые к составу средства дистанционной работы, конструкции защищенного носителя, среде функционирования средства дистанционной работы, уровню доверия средства дистанционной работы, средству доверенной загрузки средства дистанционной работы, операционной системе средства дистанционной работы, идентификации и аутентификации пользователей, идентификации и аутентификации средств вычислительной техники, управлению доступом в средстве дистанционной работы, администрированию и централизованному управлению средством дистанционной работы, контролю целостности средства дистанционной работы, регистрации и учету событий безопасности в средстве дистанционной работы.

При включении в средство дистанционной работы дополнительных функций безопасности требования к таким функциям безопасности должны быть заданы в технических условиях и оценены при проведении сертификации средства дистанционной работы.

Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. № 55 «Об утверждении Положения о системе сертификации средств защиты информации».

Средства дистанционной работы применяются в значимых объектах критической информационной инфраструктуры до 1 категории включительно, в государственных информационных системах до 1 класса защищенности включительно, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно, в информационных системах персональных данных при необходимости обеспечения безопасности персональных данных до 1 уровня защищенности включительно, в информационных системах общего пользования II класса.

Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций Требованиями производится в соответствии с Порядком обеспечения органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России, размещенном на официальном сайте ФСТЭК России www.fstec.ru в подразделе «Обеспечение документами» раздела «Документы».

Заместитель директора
В.Лютиков