Вчера ФСТЭК опубликовал информационное сообщение по по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации.
На самом деле, в этом информационном сообщении для меня самым интересным было указание на факт утверждения изменений в 17 приказ ФСТЭК, о проекте которых я уже писал. Но о них позже. Все же, сначала посмотрим что там с МЭ.
Итак, ФСТЭК засыпали вопросами, связанными с поставкой, применением, сертификацией межсетевых экранов по старым требованиям (РД МЭ) в свете вступления в силу новых требований 1 декабря 2016 года. Основные мысли сообщения такие:
- сертификация новых МЭ может быть осуществлена только по новым требованиям;
- серийное производство и поставка МЭ, сертифицированных по старым требованиям может осуществляться до истечения срока действия сертификата (хотя до этого писали совсем другое);
- применять МЭ, сертифицированные по старым требованиям, также можно до истечения срока действия сертификата соответствия, если они внедрялись до вступления в силу поправок в 17 приказ (и планируемых поправок в 21 и 31 приказы), поскольку законодательные акты обратной силы не имеют;
- первичная аттестация с МЭ, сертифицированным по старым требованиям невозможна;
- повторная аттестация с МЭ со старым действующим сертификатом — возможна.
Теперь по изменениям в 17 приказ.
У меня, если честно, в последнее время нет возможности оперативно отслеживать все изменения нормативных документов, поэтому ссылка в рассмотренном выше информационном сообщении на Приказ ФСТЭК России от 15 февраля 2017 г. № 27 (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный № 45993), вносящий изменения в 17 приказ для меня оказалась неожиданностью. Самого 27 приказа на сайте ФСТЭК я не нашел, да и 17 приказ вывешен в старой редакции. Зато эти изменения нашлись здесь.
Итак, коротко что нового:
- убрали 4 класс ГИС, теперь их осталось 3;
- как и ожидалось, требования к средствам защиты привели в соответствие принципу 4-5-6 класс СЗИ для 1-2-3 класса ГИС соответственно;
- появился пункт 17.6, гласящий о том, что ЦОДы должны быть аттестованы по классу не ниже, чем класс информационных систем, нужды которого они обслуживают, владельцам ЦОДов на заметку;
- пентесты и анализ уязвимостей теперь должны входить в аттестационные испытания;
- уточнили, что проектирование/внедрение и аттестация именно одними и теми же должностными лицами недопустима, раньше боялись, что один и тот же лицензиат не сможет проводить весь комплекс мероприятий;
- ну и вишенка на торте — теперь аттестат может выдаваться на 5 лет.