Информационное сообщение ФСТЭК России от 27.03.2017 "По вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации"
В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, приказом ФСТЭК России от 9 февраля 2016 г. № 9 (зарегистрирован Минюстом России 25 марта 2016 г., регистрационный № 41564) утверждены Требования к межсетевым экранам.
Приказом ФСТЭК России от 9 февраля 2016 г. № 9 установлено, что Требования к межсетевым экранам применяются с 1 декабря 2016 г. В этой связи в адрес ФСТЭК России поступают вопросы об особенностях разработки, производства, поставки и применения сертифицированных по требованиям безопасности информации межсетевых экранов. Кроме того, данные вопросы обсуждаются специалистами в области защиты информации на различных форумах и электронных площадках в сети Интернет.
Учитывая характер наиболее часто обсуждаемых вопросов и в целях разъяснения позиции ФСТЭК России в связи с утверждением Требований к межсетевым экранам, считаем целесообразным сообщить следующее.
1. По вопросу разработки и производства межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации.
С 1 декабря 2016 г. в системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 сертификация разработанных и (или) производимых межсетевых экранов осуществляется на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9.
Серийное производство сертифицированных межсетевых экранов осуществляется в соответствии с выданными на них сертификатами соответствия требованиям по безопасности информации.
Таким образом, допускается производство и поставка межсетевых экранов, сертифицированных на соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (далее – РД МЭ), при наличии на них действующих сертификатов соответствия требованиям по безопасности информации.
2. По вопросу применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации.
Применение средств защиты информации, включая межсетевые экраны, в информационных (автоматизированных) системах регламентируется Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, Требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденными приказом ФСТЭК России от 14 марта 2014 г. № 31, а также Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21.
Возможность применения конкретной модели межсетевого экрана в информационной (автоматизированной) системе определяется действующим на него сертификатом соответствия требованиям по безопасности информации.
В настоящее время в соответствии с указанными выше нормативными правовыми актами в информационных (автоматизированных) системах могут применяться межсетевые экраны, сертифицированные на соответствие требованиям РД МЭ.
Приказом ФСТЭК России от 15 февраля 2017 г. № 27 (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный № 45993) в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17, внесены изменения, предусматривающие необходимость применения в государственных информационных системах межсетевых экранов, сертифицированных на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9.
Кроме того, подготовлены соответствующие изменения в Требования к обеспечению защиты информации, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31, и в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21, предусматривающие также необходимость применения в автоматизированных системах управления и информационных системах персональных данных межсетевых экранов, сертифицированных на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9.
В соответствии Указом Президента Российской Федерации от 23 мая 1996 г. № 763 «О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти» нормативные правовые акты федеральных органов исполнительной власти вступают в силу по истечении 10 дней после дня их официального опубликования.
Исходя из общих принципов норм права по действию во времени, изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления актов в силу.
Таким образом, в информационных (автоматизированных) системах, созданных до вступления в силу соответствующих изменений в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17, Требования к обеспечению защиты информации, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31, Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21, допускается применение межсетевых экранов, сертифицированных на соответствие РД МЭ (при условии наличия действующих сертификатов соответствия требованиям по безопасности информации).
В ходе эксплуатации информационных (автоматизированных) систем у операторов в рамках работ по поддержанию функционирования инфраструктуры может возникнуть потребность в устранении уязвимостей, ошибок и неисправностей в применяемых межсетевых экранах, которые сертифицированы на соответствие РД МЭ, в том числе приводящих к необходимости замены межсетевых экранов на аналогичные сертифицированные модели.
В этих целях допускается применение аналогичных моделей межсетевых экранов, которые сертифицированы на соответствие РД МЭ, при условии наличия на них действующих сертификатов соответствия, а также при условии отсутствия технической возможности их замены на межсетевые экраны, сертифицированные на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9.
3. По вопросу аттестации информационных (автоматизированных) систем на соответствие требованиям по безопасности информации, в которых применяются сертифицированные межсетевые экраны.
Аттестация информационных (автоматизированных) систем (в зависимости от их типа) проводится на соответствие Требованиям о защите информации, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. № 17, Требованиям к обеспечению защиты информации, утвержденным приказом ФСТЭК России от 14 марта 2014 г. № 31, Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных, утвержденным приказом ФСТЭК России от 18 февраля 2013 г. № 21.
При проведении аттестации в информационных (автоматизированных) системах должны применяться средства защиты информации, в том числе межсетевые экраны, сертифицированные по соответствующим классам защиты, предусмотренным указанными выше нормативными правовыми актами.
Таким образом, аттестация информационных (автоматизированных) систем после вступления в силу соответствующих изменений в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17, Требования к обеспечению защиты информации, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31, Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21, возможна только в случае применения в них межсетевых экранов, сертифицированных на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9.
Допускается проведение повторной аттестации (после окончания срока действия аттестата соответствия) информационной (автоматизированной) системы, в которой применяются межсетевые экраны, сертифицированные на соответствие требованиям РД МЭ, при условии наличия на них действующих сертификатов соответствия.
Вопрос продления сроков действия сертификатов соответствия на эксплуатируемые межсетевые экраны, сертифицированные на соответствие требованиям РД МЭ, изложен в информационным сообщении ФСТЭК России от 23 января 2015 г. № 240/24/223 «По вопросу продления сроков действия сертификатов соответствия на средства защиты информации, эксплуатируемые на объектах информатизации». При этом продление сроков действия сертификатов соответствия на эксплуатируемые межсетевые экраны возможно при условии отсутствия в данных межсетевых экранах актуальных уязвимостей. Результаты анализа уязвимостей излагаются в протоколе (протоколах) оценки защищенности информации в информационной системе от несанкционированного доступа, который прилагается к заявке на продление срока действия сертификата соответствия.
Заместитель директора
ФСТЭК России
В.Лютиков