ФСТЭК России запустил общественные обсуждения и антикоррупционную экспертизу проекта приказа ФСТЭК России «О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21».
Основное изменение заключается в следующем. При использовании в информационных системах сертифицированных по требованиям безопасности информации СЗИ необходимо установить также сертификацию средств защиты по уровням доверия в соответствии с требованиями по безопасности информации, которые определяют уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Требования по безопасности информации утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131.
Эксперты группы компаний Angara напоминают, что ФСТЭК России установил шесть уровней доверия (самый низкий уровень – шестой, самый высокий – первый), где:
• Средства, соответствующие шестому уровню доверия, применяются в значимых объектах критической информационной инфраструктуры третьей категории, в государственных информационных системах третьего класса защищенности, в автоматизированных системах управления производственными и технологическими процессами третьего класса защищенности, в информационных системах персональных данных при необходимости обеспечения третьего и четвертого уровня защищенности персональных данных.
• Средства, соответствующие пятому уровню доверия, применяются в значимых объектах критической информационной инфраструктуры второй категории, в государственных информационных системах второго класса защищенности, в автоматизированных системах управления производственными и технологическими процессами второго класса защищенности, в информационных системах персональных данных при необходимости обеспечения второго уровня защищенности персональных данных.
• Средства, соответствующие четвертому уровню доверия, применяются в значимых объектах критической информационной инфраструктуры первой категории, в государственных информационных системах первого класса защищенности, в автоматизированных системах управления производственными и технологическими процессами первого класса защищенности, в информационных системах персональных данных при необходимости обеспечения первого уровня защищенности персональных данных, в информационных системах общего пользования второго класса.
• Средства защиты информации, соответствующие первому, второму и третьему уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
Основные требования для получения определенного уровня доверия относятся к процессу разработки средств защиты, выявлению уязвимостей и недекларированных возможностей.
