Разъяснения ФСТЭК по поводу уровней доверия СЗИ для ГИС

 


В конце прошлого года создалось впечатление что отсутствует даже базовый набор средств защиты информации подходящий под новые требования к уровням доверия. Даже у российских производителей традиционно известных только сертифицированными решениями был провал.

С этим была связана последняя моя статья и аналитика в 2020 году. С момента её публикации новости о сертификации по УД посыпались как из рога изобилия и острота проблемы спала.

В той статье я обещал поделиться ответами ФСТЭК по поводу применения новых требований. И хотя представители ФСТЭК в этом году и так уже публично дали на удивление много публичных комментариев (рекомендую пересмотреть видео записи), но возможно кому-то будет полезным посмотреть и письменные ответы органа гос. контроля на мои вопросы:

“Прошу уточнить возможность применения в ГИС средств защиты информации, имеющих действующий сертификат или техническую поддержку, но не сертифицированные по уровням доверия: 

·        Можно ли использовать такие средства в ТЗ на создание/модернизацию или проектирование создаваемых/модернизируемых систем защиты информации ГИС? 

·        Можно ли продолжать использовать такие ранее приобретенные средства?

·        Можно ли при расширении ГИС использовать такие средства в целях сохранения совместимости?

·        При аттестации ГИС после 1 января, может ли положительное заключение быть получено при использовании таких средств?”

 


Таким образом мы видим:

·        Что при изменениях или создании ГИС происходящих после 1 января 2021 должны уже применяться СЗИ с новыми сертификатами

·        СЗИ установленные до 1 января 2021 (а соответственно этому те, которые на этот момент уже находились в стадии создания, поставки, установки и аттестации) могут продолжать применяться при наличии техподдержки (даты поддержки видно в реестре ФСТЭК и как правило без техподдержки сертификаты будут отзываться и вообще пропадать из реестра)

·        По мнению ФСТЭК поддержки совместимости разных версий нет, а если и будет, то производитель должен предоставить возможность обновится до версии, сертифицированной по уровням доверия

 

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

КИИ. ОКВЭД vs 187-ФЗ

Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?   Например, если мы школа или учреждение соц. защиты. Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь :     Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...