Разъяснения ФСТЭК по поводу уровней доверия СЗИ для ГИС

 


В конце прошлого года создалось впечатление что отсутствует даже базовый набор средств защиты информации подходящий под новые требования к уровням доверия. Даже у российских производителей традиционно известных только сертифицированными решениями был провал.

С этим была связана последняя моя статья и аналитика в 2020 году. С момента её публикации новости о сертификации по УД посыпались как из рога изобилия и острота проблемы спала.

В той статье я обещал поделиться ответами ФСТЭК по поводу применения новых требований. И хотя представители ФСТЭК в этом году и так уже публично дали на удивление много публичных комментариев (рекомендую пересмотреть видео записи), но возможно кому-то будет полезным посмотреть и письменные ответы органа гос. контроля на мои вопросы:

“Прошу уточнить возможность применения в ГИС средств защиты информации, имеющих действующий сертификат или техническую поддержку, но не сертифицированные по уровням доверия: 

·        Можно ли использовать такие средства в ТЗ на создание/модернизацию или проектирование создаваемых/модернизируемых систем защиты информации ГИС? 

·        Можно ли продолжать использовать такие ранее приобретенные средства?

·        Можно ли при расширении ГИС использовать такие средства в целях сохранения совместимости?

·        При аттестации ГИС после 1 января, может ли положительное заключение быть получено при использовании таких средств?”

 


Таким образом мы видим:

·        Что при изменениях или создании ГИС происходящих после 1 января 2021 должны уже применяться СЗИ с новыми сертификатами

·        СЗИ установленные до 1 января 2021 (а соответственно этому те, которые на этот момент уже находились в стадии создания, поставки, установки и аттестации) могут продолжать применяться при наличии техподдержки (даты поддержки видно в реестре ФСТЭК и как правило без техподдержки сертификаты будут отзываться и вообще пропадать из реестра)

·        По мнению ФСТЭК поддержки совместимости разных версий нет, а если и будет, то производитель должен предоставить возможность обновится до версии, сертифицированной по уровням доверия

 

Комментарии

Популярные сообщения из этого блога

Модель угроз безопасности клиента финансовой организации

СКЗИ. НПА. Некоторые вопросы применения криптографии

КИИ. Категорирование объектов, часть 3