Журнал "Information Security/ Информационная безопасность" #1, 2020

• 13 ПРАВО И НОРМАТИВЫ www.itsec.ru Сертификация средств защиты информации по требованиям безопасности для обработки информации, составляющей государственную тайну 22 января 2020 г. ФСБ России опуб- ликован проект приказа "Об утвержде- нии Положения о системе сертификации средств защиты информации по требо- ваниям безопасности для сведений, составляющих государственную тайну (далее – Положение о системе серти- фикации СЗИ-ГТ), и Перечня средств защиты информации, подлежащих сер- тификации в системе сертификации средств защиты информации по требо- ваниям безопасности для сведений, составляющих государственную тайну" 6 . Действующая на данный момент система сертификации СЗИ-ГТ была утверждена еще в 1999 г. приказом ФСБ России от 13.11.1999 № 564 "Об утверждении положений о системе сертификации средств защиты инфор- мации по требованиям безопасности для сведений, составляющих госу- дарственную тайну, и о ее знаках соот- ветствия". Проект Положения о системе серти- фикации СЗИ-ГТ распространяется на ее участников: l юридических лиц, аккредитованных ФСБ России в качестве органа по сер- тификации; l юридических лиц, аккредитованных ФСБ России в качестве испытательной лаборатории (центра); l юридических лиц – лицензиатов ФСБ России, разрабатывающих и произво- дящих средства защиты информации; l юридических лиц, органов и органи- заций – заявителей на осуществление сертификации средств защиты инфор- мации. Также проектом Положения о системе сертификации СЗИ-ГТ предлагается установить, что сертификации подлежат только средства, разработанные и про- изведенные российскими организация- ми, не находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц. Хотя в действующем положении опре- делено, что органы по сертификации системы сертификации СЗИ-ГТ могут проводить сертификацию СЗИ, исполь- зуемых при работе со сведениями, составляющими государственную тайну, в том числе иностранного производ- ства. В феврале 2020 г. ФСТЭК России опубликовала для общественных обсуж- дений проект изменений требований по обеспечению безопасности значимых объектов КИИ, в котором, в частности, затрагиваются модернизация значимых объектов КИИ и сертификация средств защиты информации. 6 февраля 2020 г. опубликован проект приказа ФСТЭК России "О внесении изменений в Требования по обеспечению безопасности значимых объектов кри- тической информационной инфраструк- туры Российской Федерации, утвержден- ные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 года. № 239" 7 (далее – Проект). Общественные обсуждения про- ходили до 20 февраля 2020 г. В Проекте предлагается дать рас- шифровку термина "модернизация". При этом не совсем понятно, почему "модер- низацией является изменение архитек- туры подсистемы безопасности", так как в текущей редакции приказа ФСТЭК России от 25.12.2017 № 239 "Об утвер- ждении Требований по обеспечению безопасности значимых объектов кри- тической информационной инфраструк- туры Российской Федерации" (далее – приказ № 239) модернизация касается непосредственно самого значимого объ- екта КИИ, т.е. всех его подсистем. Согласно приказу № 239 для обес- печения безопасности значимых объ- ектов КИИ должны использоваться сер- тифицированные средства защиты информации (СЗИ) или СЗИ, прошед- шие оценку на соответствие требова- ниям в форме испытаний или приемки. Проектом приказа предлагается рег- ламентировать процесс испытаний (приемки) и установить обязательное соответствие СЗИ пятому или более высокому уровню доверия. При этом по решению субъекта КИИ испытания (приемка) могут проводиться им само- стоятельно или с привлечением орга- низаций, имеющих лицензии на дея- тельность в области защиты информа- ции. Следует также отметить, что Тре- бования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты инфор- мации и средствам обеспечения без- опасности информационных техноло- гий, (утв. приказом ФСТЭК России от 30 июля 2018 г. № 131) носят гриф "Для служебного пользования". Пред- полагается, что все требования каса- тельно приемки (испытаний) СЗИ всту- пят в силу с 1 января 2023 г. По приказу № 239 удаленный доступ непосредственно (напрямую) к сред- ствам значимых объектов КИИ для обновления или управления лицам, кото- рые не являются работниками субъекта КИИ, запрещен. Проектом предлагается скорректировать область действия этого требования и запретить удаленный доступ только для лиц, являющихся работниками зарубежных организаций, а также организаций, находящих под прямым или косвенным контролем ино- странных физических и (или) юридиче- ских лиц. В п. 10 Проекта запрещается техниче- ская поддержка средств, в том числе СЗИ, применяемых в значимом объекте КИИ, зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юри- дических лиц. По мнению ряда экспер- тов, это означает неизбежный переход к использованию отечественного про- граммного обеспечения в значимых объ- ектах КИИ. Нововведениями Проекта являются: l предъявление к прикладному про- граммному обеспечению объектов КИИ требований по безопасной разработке (что, в свою очередь, подтверждает тезис о том, что нововведениями дела- ется акцент на использовании отече- ственных разработок); l выявление уязвимостей и недеклари- рованных возможностей; l требование, что входящие в состав объектов КИИ второй категории значи- мости программные и программно- аппаратные средства, осуществляю- щие хранение и обработку информа- ции, должны размещаться на террито- рии Российской Федерации. В дей- ствующей редакции приказа № 239 данное требование предъявляется только к объектам КИИ первой катего- рии значимости. l Февраль-2020 январе этого года был доработан проект, предлагающий установить новые размеры штрафов за нарушение законодательства в области обеспечения безопасности объектов КИИ. Февраль 2020 года принял эстафету и ознаменовался новым проектом изменения требований к обеспечению безопасности значимых объектов КИИ. В нашем обзоре вы найдете варианты поправок, которые предлагается внести в приказ № 239 ФСТЭК России. В 6 https://regulation.gov.ru/projects#npa=98843 7 https://regulation.gov.ru/projects#npa=99311 Ваше мнение и вопросы присылайте по адресу is@groteck.ru