Информационное сообщение ФСТЭК России от 24.12.2014 № 240/24/4918 "Об утверждении Требований к средствам контроля съемных машинных носителей информации"

В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, приказом ФСТЭК России от 28 июля 2014 г. № 87 (зарегистрирован Минюстом России 5 сентября 2014 г., регистрационный № 33994) утверждены Требования к средствам контроля съемных машинных носителей информации (далее - Требования), которые вступили в силу с 1 декабря 2014 г.

Требования применяются к программным и программно-техническим средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом и реализующим функции по предотвращению несанкционированного доступа к информации с использованием съемных машинных носителей информации, подключаемых к информационной системе, и (или) по предотвращению несанкционированного отчуждения (переноса) информации ограниченного доступа с зарегистрированных (учтенных) съемных машинных носителей информации.

Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление обязательной сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.

Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий.

В Требованиях выделены следующие типы средств контроля съемных машинных носителей информации:

средства контроля подключения съемных машинных носителей информации;

средства контроля отчуждения (переноса) информации со съемных машинных носителей информации.

Для дифференциации требований к функциям безопасности средств контроля съемных машинных носителей информации выделяются шесть классов защиты средств контроля съемных машинных носителей информации. Самый низкий класс - шестой, самый высокий - первый.

Средства контроля съемных машинных носителей информации, соответствующие 6 классу защиты, применяются в информационных системах, не являющихся государственными информационными системами, информационными системами персональных данных, информационными системами общего пользования и не предназначенных для обработки информации ограниченного доступа, содержащей сведения, составляющие государственную тайну.

Средства контроля съемных машинных носителей информации, соответствующие 5 классу защиты, применяются в государственных информационных системах 3 класса защищенности1) в случае отсутствия взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, а также в государственных информационных системах 4 класса защищенности2), в информационных системах персональных данных при необходимости обеспечения 3 уровня защищенности персональных данных3) в случае актуальности угроз 3-го типа4) и отсутствия взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, а также при необходимости обеспечения 4 уровня защищенности персональных данных5).

Средства контроля съемных машинных носителей информации, соответствующие 4 классу защиты, применяются в государственных информационных системах 3 класса защищенности6) в случае их взаимодействия с информационно-телекоммуникационными сетями международного информационного обмена, а также в государственных информационных системах 1 и 2 классов защищенности7), в информационных системах персональных данных при необходимости обеспечения 3 уровня защищенности персональных данных8) в случае актуальности угроз 2-го типа9) или взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, а также при необходимости обеспечения 1 и 2 уровня защищенности персональных данных10), в информационных системах общего пользования II класса11).

Средства контроля съемных машинных носителей информации, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Требования включают общие требования к средствам контроля съемных машинных носителей информации и требования к функциям безопасности средств контроля съемных машинных носителей информации.

Детализация требований к функциям безопасности средств контроля съемных машинных носителей информации, установленных Требованиями, а также взаимосвязи этих требований приведены для каждого класса и типа средств контроля съемных машинных носителей информации в профилях защиты, утвержденных 1 декабря 2014 г. ФСТЭК России в качестве методических документов в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Спецификация профилей защиты средств контроля съемных машинных носителей информации для каждого типа средства контроля съемных машинных носителей информации и класса защиты средств контроля съемных машинных носителей информации приведена в таблице.

Тип средства контроля съемных машинных носителей информации Класс защиты
6 5 4 3 2 1
Средство контроля подключения съемных машинных носителей информации ИТ.СКН.П6.ПЗ ИТ.СКН.П5.ПЗ ИТ.СКН.П4.ПЗ ИТ.СКН.П3.ПЗ ИТ.СКН.П2.ПЗ ИТ.СКН.П1.ПЗ
Средство контроля отчуждения (переноса) информации со съемных машинных носителей информации - - ИТ.СКН.Н4.ПЗ ИТ.СКН.Н3.ПЗ ИТ.СКН.Н2.ПЗ ИТ.СКН.Н1.ПЗ

Идентификаторы профилей защиты приводятся в формате ИТ.СКН.«тип»«класс».ПЗ, где обозначение «тип» может принимать значение «П», которое определяет, что средство контроля съемных машинных носителей информации относится к средствам контроля подключения съемных машинных носителей информации, или значение «Н», которое определяет, что средство контроля съемных машинных носителей информации относится к средствам контроля отчуждения (переноса) информации со съемных машинных носителей информации, а обозначение «класс» может принимать значения от 1 до 6, соответствующие классу защиты средства контроля съемных машинных носителей.

Таким образом, с 1 декабря 2014 г. сертификация средств защиты информации, реализующих функции по предотвращению несанкционированного доступа к информации с использованием съемных машинных носителей информации, подключаемых к информационной системе, и (или) по предотвращению несанкционированного отчуждения (переноса) информации ограниченного доступа с зарегистрированных (учтенных) съемных машинных носителей информации, в системе сертификации ФСТЭК России проводится на соответствие Требованиям к средствам контроля съемных машинных носителей информации, утвержденным приказом ФСТЭК России от 28 июля 2014 г. № 87.

Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций Требованиями к средствам контроля съемных машинных носителей информации, утвержденными приказом ФСТЭК России от 28 июля 2014 г. № 87, а также методическими документами ФСТЭК России, содержащими профили защиты средств контроля съемных машинных носителей информации 3, 2 и 1 классов защиты, производится в соответствии с Временным порядком обеспечения органов государственной власти Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России (www.фстэк.рф).

Методические документы ФСТЭК России, содержащие профили защиты средств контроля съемных машинных носителей информации 6, 5 и 4 классов защиты, размещены на официальном сайте ФСТЭК России www.фстэк.рф в разделе «Документы. Сертификация. Специальные нормативные документы».

Начальник 2 управления
В.Лютиков


1) , 2) , 6) , 7)
Устанавливается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный № 28608).
3) , 4) , 5) , 8) , 9) , 10)
Устанавливается в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 (Собрание законодательства Российской Федерации, 2012, № 45, ст. 6257).
11)
Устанавливается в соответствии с Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ России и ФСТЭК России от 31 августа 2010 г. № 416/489 (зарегистрирован Минюстом России 13 октября 2010 г., регистрационный № 18704).