532012
27.03.2017 ФСТЭК опубликовал Информационное сообщение, в котором даны разъяснения по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по Требованиям безопасности информации.
С 1 декабря 2016 г. сертификация разработанных и (или) производимых межсетевых экранов может быть осуществлена только в соответствии с новыми Требованиям к межсетевым экранам, утвержденными приказом ФСТЭК России от 9 февраля 2016 г. N 9.
Вместе с тем серийное производство и поставка межсетевых экранов, сертифицированных по Руководящему документу "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (далее - РД МЭ), может осуществляться при наличии у них действующих сертификатов соответствия Требованиям по безопасности информации до истечения срока действия этих сертификатов.
Приказом ФСТЭК России от 15 февраля 2017 г. № 27 в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, внесены изменения, предусматривающие необходимость применения в государственных информационных системах межсетевых экранов, сертифицированных на соответствие новым Требованиям к межсетевым экранам.
Кроме того, подготовлены изменения в Требования к обеспечению защиты информации, утвержденные приказом ФСТЭК России от 14 марта 2014 г. N 31 и в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, также предусматривающие применение межсетевых экранов, сертифицированных на соответствие новым Требованиям к межсетевым экранам.
При проведении аттестации в информационных (автоматизированных) системах должны применяться средства защиты информации, в том числе межсетевые экраны, сертифицированные по соответствующим классам защиты, предусмотренным указанными выше нормативными правовыми актами.
После вступления в силу соответствующих изменений в указанные Требования первичная аттестация информационных (автоматизированных) систем возможна только в случае применения в них межсетевых экранов, сертифицированных по новым Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. N 9.
Вместе с тем допускается проведение повторной аттестации (после окончания срока действия аттестата соответствия) информационной (автоматизированной) системы, в которой применяются межсетевые экраны, сертифицированные по РД МЭ, но с действующим сертификатом соответствия.
В отношении сроков действия сертификатов соответствия на эксплуатируемые межсетевые экраны, сертифицированные в соответствии с РД МЭ, продление сроков возможно при условии отсутствия в данных межсетевых экранах актуальных уязвимостей.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
