Информационное сообщение ФСТЭК по межсетевым экранам и изменения (утвержденные) в 17 приказ

Автор: | 28.03.2017

Вчера ФСТЭК опубликовал информационное сообщение по по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации.

На самом деле, в этом информационном сообщении для меня самым интересным было указание на факт утверждения изменений в 17 приказ ФСТЭК, о проекте которых я уже писал. Но о них позже. Все же, сначала посмотрим что там с МЭ.

Итак, ФСТЭК засыпали вопросами, связанными с поставкой, применением, сертификацией межсетевых экранов по старым требованиям (РД МЭ) в свете вступления в силу новых требований 1 декабря 2016 года. Основные мысли сообщения такие:

  • сертификация новых МЭ может быть осуществлена только по новым требованиям;
  • серийное производство и поставка МЭ, сертифицированных по старым требованиям может осуществляться до истечения срока действия сертификата (хотя до этого писали совсем другое);
  • применять МЭ, сертифицированные по старым требованиям, также можно до истечения срока действия сертификата соответствия, если они внедрялись до вступления в силу поправок в 17 приказ (и планируемых поправок в 21 и 31 приказы), поскольку законодательные акты обратной силы не имеют;
  • первичная аттестация с МЭ, сертифицированным по старым требованиям невозможна;
  • повторная аттестация с МЭ со старым действующим сертификатом — возможна.

Теперь по изменениям в 17 приказ.

У меня, если честно, в последнее время нет возможности оперативно отслеживать все изменения нормативных документов, поэтому ссылка в рассмотренном выше информационном сообщении на Приказ ФСТЭК России от 15 февраля 2017 г. № 27 (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный № 45993), вносящий изменения в 17 приказ для меня оказалась неожиданностью. Самого 27 приказа на сайте ФСТЭК я не нашел, да и 17 приказ вывешен в старой редакции. Зато эти изменения нашлись здесь.

Итак, коротко что нового:

  • убрали 4 класс ГИС, теперь их осталось 3;
  • как и ожидалось, требования к средствам защиты привели в соответствие принципу 4-5-6 класс СЗИ для 1-2-3 класса ГИС соответственно;
  • появился пункт 17.6, гласящий о том, что ЦОДы должны быть аттестованы по классу не ниже, чем класс информационных систем, нужды которого они обслуживают, владельцам ЦОДов на заметку;
  • пентесты и анализ уязвимостей теперь должны входить в аттестационные испытания;
  • уточнили, что проектирование/внедрение и аттестация именно одними и теми же должностными лицами недопустима, раньше боялись, что один и тот же лицензиат не сможет проводить весь комплекс мероприятий;
  • ну и вишенка на торте — теперь аттестат может выдаваться на 5 лет.
comments powered by HyperComments