Письмо Федеральной службы по техническому и экспортному контролю от 15 октября 2020 г. № 240/24/4268 “Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий”

На основе анализа правоприменительной практики и на основании подпункта 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утверждённого Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, приказом ФСТЭК России от 2 июня 2020 г. N 76 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59772) утверждена новая редакция Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее - Требования).

Указанный документ предназначен для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию программных, программно-технических средств технической защиты информации, средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации (далее - средства), заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации.

В соответствии с приказом ФСТЭК России от 2 июня 2020 г. N 76 Требования вступают в силу с 1 января 2021 г., за исключением:

абзаца седьмого пункта 12.2 и абзаца девятого пункта 12.4, вступающих в силу с 1 января 2022 г.;

абзаца пятого пункта 12.5, вступающего в силу с 1 января 2024 г.;

абзаца пятого пункта 12.3, вступающего в силу с 1 января 2028 г.

Кроме того с 1 января 2021 г. признается утратившим силу приказ ФСТЭК России от 30 июля 2018 г. N 131 "Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий".

Изготовителям средств, сертифицированных по схеме сертификации для серийного производства, необходимо привести средства в соответствие Требованиям в сроки, установленные приказом ФСТЭК России от 2 июня 2020 г. N 76, и проинформировать об этом ФСТЭК России в целях переоформления сертификатов соответствия.

Требования применяются к средствам и устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа.

Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств, организуемых ФСТЭК России в пределах своих полномочий.

Для дифференциации требований по безопасности информации к средствам устанавливается 6 уровней доверия. Самый низкий уровень - шестой, самый высокий - первый.

Средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.

Средства, соответствующие 5 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 2 категории, в государственных информационных системах 2 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.

Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.

Средства, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Для дифференциации требований к исследованиям программного обеспечения средств по выявлению уязвимостей и недекларированных возможностей устанавливается 6 уровней контроля. Самый низкий уровень - шестой, самый высокий - первый.

В соответствии с Требованиями средства должны проходить исследования по выявлению уязвимостей и недекларированных возможностей по уровню контроля, соответствующему уровню доверия.

Средства, соответствующие 6 уровню доверия, должны проходить исследования по 6 уровню контроля, 5 уровню доверия - по 5 уровню контроля, 4 уровню доверия - по 4 уровню контроля, 3 уровню доверия - по 3 уровню контроля, 2 уровню доверия - по 2 уровню контроля, 1 уровню доверия - по 1 уровню контроля.

Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций Требованиями производится в соответствии с Порядком обеспечения органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России, размещенном на официальном сайте ФСТЭК России www.fstec.ru в подразделе "Обеспечение документами" раздела "Документы".

Одновременно сообщаем, что в соответствии с приказом ФСТЭК России от 11 августа 2020 г. N 96 при выполнении работ по сертификации средств защиты информации с 15 августа 2020 г. не применяется руководящий документ Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей", утверждённый приказом Гостехкомиссии России от 4 июня 1999 г. N 114.