Информационное сообщение ФСТЭК России от 04.05.2012 № 240/24/1701 "О работах в области оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа"
В адрес центрального аппарата ФСТЭК России, ее территориальных органов и ГНИИИ ПТЗИ ФСТЭК России поступают вопросы о проводимых работах в области оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа.
В соответствии с законодательством Российской Федерации на все обращения, поступающие в ФСТЭК России, направляются соответствующие ответы, позиция ФСТЭК России в пределах ее полномочий доводится на площадках тематических сборов, совещаний, конференций (в том числе международных).
В целях повышения эффективности деятельности в области технической защиты информации, содержащей сведения, составляющие государственную тайну, и иной информации, доступ к которой ограничен в соответствии с федеральными законами, а также информирования организаций, выполняющих работы и оказывающих услуги в области технической защиты информации, полагаем целесообразным сообщить следующее.
1. В соответствии со статьей 28 Закона Российской Федерации от 21 июля 1993 г. № 5485-1 "О государственной тайне" средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.
Сертификация средств защиты информации, используемых для защиты сведений, составляющих государственную тайну, осуществляется в порядке, установленном Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608.
Организация сертификации средств защиты информации возлагается, в том числе, на ФСТЭК России в пределах полномочий, установленных Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (далее - Положение о ФСТЭК России).
В соответствии со статьей 5 Федерального закона от 21 декабря 2002 г. № 184-ФЗ "О техническом регулировании" в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные уполномоченными федеральными органами исполнительной власти, в том числе ФСТЭК России.
В соответствии с частью 4 статьи 5 указанного Федерального закона особенности оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, установлены Положением об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденным постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330.
В соответствии с указанным Положением оценка соответствия средств, предназначенных для защиты информации конфиденциального характера, средств, в которых они реализованы, а также средств контроля эффективности защиты информации (далее - средства защиты информации конфиденциального характера), используемых в целях защиты государственного информационного ресурса и (или) персональных данных, осуществляется в форме обязательной сертификации.
Таким образом, средства защиты информации, содержащей сведения, составляющие государственную тайну, а также средства защиты информации конфиденциального характера, используемые в целях защиты государственного информационного ресурса и (или) персональных данных, подлежат оценке соответствия в форме обязательной сертификации.
2. В соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608, сертификация средств защиты информации, содержащей сведения, составляющие государственную тайну, осуществляется, в том числе, на основании нормативных документов, утверждаемых ФСТЭК России в пределах ее полномочий.
Кроме того, в соответствии с Положением об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденным постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330, сертификация средств защиты информации конфиденциального характера, используемых в целях защиты государственного информационного ресурса и (или) персональных данных, осуществляется на соответствие обязательным требованиям, в том числе установленным ФСТЭК России в пределах ее полномочий.
В соответствии с подпунктом 13 пункта 8 Положения о ФСТЭК России Служба организует в соответствии с законодательством Российской Федерации проведение работ по оценке соответствия (включая работы по сертификации) средств противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры.
Вопросы, входящие в компетенцию ФСТЭК России, определены Положением о ФСТЭК России.
Таким образом, средства защиты информации, содержащей сведения, составляющие государственную тайну, и средства защиты информации конфиденциального характера, используемые в целях защиты государственного информационного ресурса и (или) персональных данных, включая средства противодействия техническим разведкам, технической защиты информации (некриптографическими методами), обеспечения безопасности информационных технологий (некриптографическими методами), подлежат сертификации на соответствие требованиям, установленным ФСТЭК России (за исключением средств, используемых в Вооруженных Силах Российской Федерации, средств, предназначенных для эксплуатации в загранучреждениях Российской Федерации, средств, устанавливаемых на объектах Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации).
3. Согласно подпункту 13.1 пункта 8 Положения о ФСТЭК России Служба уполномочена разрабатывать и устанавливать в пределах своей компетенции обязательные требования в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, издавать по данному вопросу нормативные правовые акты, разрабатывать и утверждать методические документы.
Учитывая, что в соответствии с пунктом 5 Указа Президента Российской Федерации от 16 августа 2004 г. № 1085 ФСТЭК России является правопреемником Гостехкомиссии России, для проведения работ по сертификации средств защиты информации, содержащей сведения, составляющие государственную тайну, и средств защиты информации конфиденциального характера, используемых в целях защиты государственного информационного ресурса и (или) персональных данных, кроме документов, изданных ФСТЭК России после 2004 года, широко применяются методические документы, утвержденные Гостехкомиссией России.
Одновременно в рамках совершенствования нормативно-правового и методического обеспечения работ по сертификации средств защиты информации ФСТЭК России в пределах своих полномочий ведется разработка нормативных правовых актов, устанавливающих обязательные требования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, а также методических документов, обеспечивающих выполнение установленных обязательных требований.
Так, приказом ФСТЭК России от 6 декабря 2011 г. № 638 утверждены Требования к системам обнаружения вторжений. Указанный приказ в установленном порядке прошел оценку регулирующего воздействия в Минэкономразвития России и зарегистрирован Минюстом России 1 февраля 2012 г., рег. № 23088. Требования к системам обнаружения вторжений применяются для проведения работ по сертификации вновь разработанных систем с 15 марта 2012 г.
Для обеспечения выполнения Требований к системам обнаружения вторжений в соответствии с подпунктом 4 пункта 8 Положения о ФСТЭК России разработаны и утверждены 12 методических документов ФСТЭК России, содержащих профили защиты систем обнаружения вторжений 1, 2, 3, 4, 5 и 6 классов защиты.
Обеспечение указанными Требованиями, а также методическими документами ФСТЭК России, содержащими профили защиты систем обнаружения вторжений 3, 2 и 1 классов защиты, производится в соответствии с Временным порядком обеспечения органов государственной власти Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России (www.fstec.ru).
Методические документы ФСТЭК России, содержащие профили защиты систем обнаружения вторжений 6, 5 и 4 классов защиты, размещены на официальном сайте ФСТЭК России www.fstec.ru в разделе «Информационно-справочная система по документам в области технической защиты информации. Специальные нормативные документы».
Приказом ФСТЭК России от 20 марта 2012 г. № 28 утверждены Требования к средствам антивирусной защиты. Указанный приказ в установленном порядке прошел оценку регулирующего воздействия в Минэкономразвития России и зарегистрирован Минюстом России 3 мая 2012 г., рег. № 24045. Требования к средствам антивирусной защиты будут применяться для проведения работ по сертификации вновь разработанных средств с 1 августа 2012 г.
Для обеспечения выполнения Требований к средствам антивирусной защиты разработаны и готовятся к утверждению в мае - июне 2012 г. 24 методических документа ФСТЭК России, содержащих профили защиты к средствам антивирусной защиты.
Кроме того, ФСТЭК России ведется подготовка нормативных правовых актов и методических документов по средствам доверенной загрузки, средствам двухфакторной аутентификации, средствам контроля съемных носителей информации, средствам предотвращения утечек информации (DLP-системы), утверждение которых планируется в 2013 году.
По мере введения в действие новых нормативных правовых актов и методических документов ФСТЭК России, устанавливающих требования к средствам защиты информации, применение методических документов Гостехкомиссии России и технических условий для проведения сертификации средств защиты информации будет исключаться.
К разработке нормативных правовых актов и методических документов, устанавливающих требования к средствам защиты информации, привлекались организации, осуществляющие в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, испытательные лаборатории и органы по сертификации, выполняющие работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации. В дальнейшем практика привлечения к разработке нормативных правовых актов и методических документов экспертов в области защиты информации будет расширяться.
4. В соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608, и подпунктом 20 пункта 9 Положения о ФСТЭК России Служба в пределах своих полномочий ведет реестр сертифицированных средств защиты информации.
В настоящее время в указанный реестр включено более 500 типов сертифицированных средств защиты информации, которые могут применяться для защиты информации конфиденциального характера, используемых в целях защиты государственного информационного ресурса и (или) персональных данных.
Указанные типы сертифицированных средств защиты информации прошли сертификационные испытания по схемам сертификации единичных образцов, партий и серийных производств средств защиты информации.
Каждое сертифицированное средство защиты информации подлежит маркированию специальным номерным защитным знаком соответствия, который производитель (заявитель) получает в ФСТЭК России.
В 2011 году ФСТЭК России было выдано производителям (заявителям) более 1,5 млн. специальных защитных знаков соответствия для маркирования средств защиты информации конфиденциального характера, используемых в целях защиты государственного информационного ресурса и (или) персональных данных. В первом квартале 2012 года специальных защитных знаков соответствия выдано более 500 тыс. штук.
Начальник 2 управления
А.Куц