ФСТЭК РФ разъяснила свои требования к сертифицированным межсетевым экранам

131

В информационном сообщении от 27 марта Федеральная служба по техническому и экспортному контролю дала разъяснения к собственному приказу от 9 февраля 2016 г. N 9, утверждающему требования к межсетевым экранам.

Новые требования вступили в силу 1 декабря 2016 года. Документ вызвал вопросы (действительны ли ранее выданные сертификаты, как сертифицировать, можно ли использовать уже аттестованные системы), на которые ФСТЭК и решила ответить.

Смысл разъяснений ФСТЭК РФ, как пояснила D-Russia.ru исполнительный директор российской компании разработчика систем информационной безопасности «Смарт-Софт» Татьяна Медова, состоит в следующем.

1. Производитель, имеющий действующий сертификат, может производить межсетевые экраны.

«Допускается производство и поставка межсетевых экранов, сертифицированных на соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (далее – РД МЭ), при наличии на них действующих сертификатов соответствия требованиям по безопасности информации».

2. Клиент, установивший межсетевой экран, имеющий действующий сертификат, может им пользоваться, но должен планировать переход на новый.

«В информационных (автоматизированных) системах, созданных до вступления в силу соответствующих изменений в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, Требования к обеспечению защиты информации, утвержденные приказом ФСТЭК России от 14 марта 2014 г. N 31, Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, допускается применение межсетевых экранов, сертифицированных на соответствие РД МЭ (при условии наличия действующих сертификатов соответствия требованиям по безопасности информации)».

3. Аттестовать новые рабочие места можно только с межсетевым экраном, сертифицированным по новым требованиям.

«Аттестация информационных (автоматизированных) систем после вступления в силу соответствующих изменений в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, Требования к обеспечению защиты информации, утвержденные приказом ФСТЭК России от 14 марта 2014 г. N 31, Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, возможна только в случае применения в них межсетевых экранов, сертифицированных на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. N 9».