Информационное письмо ФСТЭК России от 06.02.2014 № 240/24/405 "Об утверждении Требований к средствам доверенной загрузки"
В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, приказом ФСТЭК России от 27 сентября 2013 г. № 119 (зарегистрирован Минюстом России 16 декабря 2013 г., рег. № 30604) утверждены Требования к средствам доверенной загрузки (далее - Требования), которые вступили в действие с 1 января 2014 г.
Требования применяются к программным и программно-техническим средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом и реализующим функции по предотвращению несанкционированного доступа к программным и (или) техническим ресурсам средства вычислительной техники на этапе его загрузки (далее - средства доверенной загрузки).
Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление обязательной сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.
Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий.
В Требованиях выделены следующие типы средств доверенной загрузки:
средства доверенной загрузки уровня базовой системы ввода-вывода;
средства доверенной загрузки уровня платы расширения;
средства доверенной загрузки уровня загрузочной записи.
Для дифференциации требований к функциям безопасности средств доверенной загрузки выделяются шесть классов защиты средств доверенной загрузки. Самый низкий класс - шестой, самый высокий - первый.
Средства доверенной загрузки, соответствующие 6 классу защиты, применяются в информационных системах, не являющихся государственными информационными системами, информационными системами персональных данных, информационными системами общего пользования и не предназначенных для обработки информации ограниченного доступа, содержащей сведения, составляющие государственную тайну.
Средства доверенной загрузки, соответствующие 5 классу защиты, применяются в государственных информационных системах 3 класса защищенности1) в случае отсутствия взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, а также в государственных информационных системах 4 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 уровня защищенности персональных данных2) в случае актуальности угроз 3-го типа и отсутствия взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, также при необходимости обеспечения 4 уровня защищенности персональных данных.
Средства доверенной загрузки, соответствующие 4 классу защиты, применяются в государственных информационных системах 3 класса защищенности3) в случае их взаимодействия с информационно-телекоммуникационными сетями международного информационного обмена, а также в государственных информационных системах 1 и 2 классов защищенности4), в информационных системах персональных данных при необходимости обеспечения 3 уровня защищенности персональных данных5) в случае актуальности угроз 2-го типа6) или взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, а также при необходимости обеспечения 1 и 2 уровня защищенности персональных данных7), в информационных системах общего пользования II класса8).
Средства доверенной загрузки, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
Требования включают общие требования к средствам доверенной загрузки и требования к функциям безопасности средств доверенной загрузки.
Детализация требований к функциям безопасности средств доверенной загрузки, установленных Требованиями, а также взаимосвязи этих требований приведены для каждого класса и типа средств доверенной загрузки в профилях защиты, утвержденных 30 декабря 2013 г. ФСТЭК России в качестве методических документов в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
Спецификация профилей защиты средств доверенной загрузки для каждого типа средства доверенной загрузки и класса защиты средства доверенной загрузки приведена в таблице.
Тип системы обнаружения вторжений | Класс защиты | |||||
---|---|---|---|---|---|---|
6 | 5 | 4 | 3 | 2 | 1 | |
Средство доверенной загрузки уровня базовой системы ввода-вывода | - | - | ИТ.СДЗ.УБ4.ПЗ | ИТ.СДЗ.УБ3.ПЗ | ИТ.СДЗ.УБ2.ПЗ | ИТ.СДЗ.УБ1.ПЗ |
Средство доверенной загрузки уровня платы расширения | - | - | ИТ.СДЗ.ПР4.ПЗ | ИТ.СДЗ.ПР3.ПЗ | ИТ.СДЗ.ПР2.ПЗ | ИТ.СДЗ.ПР1.ПЗ |
Средство доверенной загрузки уровня загрузочной записи | ИТ.СДЗ.ЗЗ6.ПЗ | ИТ.СДЗ.ЗЗ5.ПЗ | - | - | - | - |
Идентификаторы профилей защиты приводятся в формате ИТ.СДЗ.«тип» «класс».ПЗ, где обозначение «тип» может принимать обозначение «УБ», которое определяет, что средство доверенной загрузки относится к уровню базовой системы ввода-вывода, обозначение «ПР», которое определяет, что средство доверенной загрузки относится к уровню платы расширения, обозначение «ЗЗ», которое определяет, что средство доверенной загрузки относится к уровню загрузочной записи, а «класс» может принимать значения от 1 до 6, соответствующие классу защиты средства доверенной загрузки.
Таким образом, с 1 января 2014 г. сертификация средств защиты информации, реализующих функции доверенной загрузки, в системе сертификации ФСТЭК России проводится на соответствие Требованиям к средствам доверенной загрузки, утвержденным приказом ФСТЭК России от 27 сентября 2013 г. № 119.
Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций Требованиями к средствам доверенной загрузки, утвержденными приказом ФСТЭК России от 27 сентября 2014 г. № 119, а также методическими документами ФСТЭК России, содержащими профили защиты средств доверенной загрузки 3, 2 и 1 классов защиты, производится в соответствии с Временным порядком обеспечения органов государственной власти Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России (www.fstec.ru).
Методические документы ФСТЭК России, содержащие профили защиты средств доверенной загрузки 6, 5 и 4 классов защиты, размещены на официальном сайте ФСТЭК России www.fstec.ru в разделе «Документы. Сертификация. Специальные нормативные документы».