ФСТЭК РФ разъяснила свои требования к сертифицированным межсетевым экранам

• Редакция
• 28.03.2017
• Категории: Кибербезопасность, Новости
• Теги: ФСТЭК

В информационном сообщении от 27 марта Федеральная служба по техническому и экспортному контролю дала разъяснения к собственному приказу от 9 февраля 2016 г. N 9, утверждающему требования к межсетевым экранам.

Новые требования вступили в силу 1 декабря 2016 года. Документ вызвал вопросы (действительны ли ранее выданные сертификаты, как сертифицировать, можно ли использовать уже аттестованные системы), на которые ФСТЭК и решила ответить.

Смысл разъяснений ФСТЭК РФ, как пояснила D-Russia.ru исполнительный директор российской компании разработчика систем информационной безопасности «Смарт-Софт» Татьяна Медова, состоит в следующем.

1. Производитель, имеющий действующий сертификат, может производить межсетевые экраны.

[box]«Допускается производство и поставка межсетевых экранов, сертифицированных на соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (далее – РД МЭ), при наличии на них действующих сертификатов соответствия требованиям по безопасности информации».[/box]

2. Клиент, установивший межсетевой экран, имеющий действующий сертификат, может им пользоваться, но должен планировать переход на новый.

[box]«В информационных (автоматизированных) системах, созданных до вступления в силу соответствующих изменений в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, Требования к обеспечению защиты информации, утвержденные приказом ФСТЭК России от 14 марта 2014 г. N 31, Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, допускается применение межсетевых экранов, сертифицированных на соответствие РД МЭ (при условии наличия действующих сертификатов соответствия требованиям по безопасности информации)».[/box]

3. Аттестовать новые рабочие места можно только с межсетевым экраном, сертифицированным по новым требованиям.

[box]«Аттестация информационных (автоматизированных) систем после вступления в силу соответствующих изменений в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, Требования к обеспечению защиты информации, утвержденные приказом ФСТЭК России от 14 марта 2014 г. N 31, Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, возможна только в случае применения в них межсетевых экранов, сертифицированных на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. N 9».[/box]