Журнал "Information Security/ Информационная безопасность" #5, 2020

• 7 ПРАВО И НОРМАТИВЫ www.itsec.ru 3 https://fstec.ru/component/attachments/download/2826 4 https://fstec.ru/component/attachments/download/2829 5 https://regulation.gov.ru/Projects/List#npa=109874 6 https://regulation.gov.ru/projects#npa=102172 Реклама бований к уровням доверия утверждена приказом ФСТЭК России от 02.06.2020 г. № 76 и вступает в силу с 1 января 2021 г., за исключением некоторых положений, вступающих в силу с 1 января 2022 г., 2024 г. и 2028 г. соответственно. Приказ ФСТЭК России от 02.06.2020 г. № 76, как и предыдущая версия Тре- бований к уровням доверия, носит ограничительную пометку "ДСП". Отме- чается, что Требования к уровням дове- рия предназначены для организаций, осуществляющих работы по созданию программных, программно-технических средств технической защиты инфор- мации, средств обеспечения безопас- ности информационных технологий, включая защищенные средства обра- ботки информации, заявителей на осу- ществление сертификации, а также для испытательных лабораторий и органов по сертификации, выпол- няющих работы по сертификации средств на соответствие обязательным требованиям по безопасности инфор- мации. Однако применение Требований к уровням доверия с 1 января 2023 г. является обязательным в том числе при проведении работ по оценке соот- ветствия в форме испытаний или при- емки для средств защиты информации (СрЗИ) значимых объектов критиче- ской информационной инфраструктуры (КИИ). Изготовителям средств, сертифици- рованных по схеме сертификации для серийного производства, необходимо привести средства в соответствие Тре- бованиям к уровням доверия в сроки, установленные приказом ФСТЭК Рос- сии от 02.06.2020 г. № 76, и проинфор- мировать об этом ФСТЭК России для переоформления сертификатов соот- ветствия. Новая версия Требований к уровням доверия также вводит обязательность соответствия уровням контроля, соот- ветствующим уровням доверия, которые определяют процессы исследования по выявлению уязвимостей и недеклари- рованных возможностей. Стандарты управления доступом 13 октября ФСТЭК России опублико- вала окончательные редакции проектов национальных стандартов ГОСТ Р, раз- рабатываемых в соответствии с Про- граммой разработки национальных стандартов на 2019 и 2020 гг. в рамках работы технического комитета по стан- дартизации "Защита информации" (ТК 362): l Защита информации. Формальная модель управления доступом. Часть 1. Общие положения 3 . l Защита информации. Формальная модель управления доступом. Часть 2. Рекомендации по верификации фор- мальной модели управления доступом 4 . Стандарты предназначены для раз- работчиков СрЗИ, реализующих поли- тики управления доступом, а также для органов по сертификации и испыта- тельных лабораторий при проведении сертификации СрЗИ, реализующих политики управления доступом. Стан- дарты представляют собой рекоменда- ции по верификации с применением инструментальных средств формальных моделей управления доступом, на осно- ве которых разрабатываются СрЗИ, реализующие политики управления доступом (дискреционная, ролевая, ман- датная или другие виды политик управ- ления доступом). Импортозамещение в критической информационной инфраструктуре Минцифры России 29 октября 2020 г. представило к публичным обсуждениям проект указа Президента Российской Федерации "О мерах по обеспечению информационной безопасности в эко- номической сфере при использовании программного обеспечения и оборудо- вания на объектах критической инфор- мационной инфраструктуры" (далее – проект указа) 5 . Предыдущая версия про- екта указа размещалась для обществен- ного обсуждения в мае 2020 г 6 ., текущая версия проекта указа представлена для публичного обсуждения до 26 ноября 2020 г. Проектом указа предусматривается наделение Правительства РФ полномо- чиями по утверждению требований к программному обеспечению и оборудо- ванию, используемому на объектах КИИ, и порядка перехода на преимуществен- ное использование российского ПО и оборудования. Под преимущественным использованием понимается приоритет- ное использование российского ПО и/или оборудования при наличии соответ- ствующих российских аналогов. При этом, как ни странно, по проекту указа такие требования Правительство РФ должно было утвердить до 1 сентября 2020 г. По проекту указа субъекты КИИ долж- ны будут до 1 января 2024 г. осуществить переход на преимущественное исполь- зование российского ПО и до 1 января 2025 г. осуществить переход на преиму- щественное использование российского оборудования. К проекту указа прилагается проект постановления Правительства РФ, согласно которому надзорным органом по контролю использования субъектами КИИ российского ПО будет Минцифры России, а по использованию россий- ского оборудования – Минпромторг России. При этом при использовании и/или планировании использования иностран- ного ПО и/или оборудования на объектах КИИ субъект КИИ должен будет напра- вить на согласование перечень такого ПО и/или оборудования в соответствую-