Новые методические документы ФСТЭК: с 1 декабря 2016 года сертификаты для МСЭ станут обязательными

Новые методические документы ФСТЭК: с 1 декабря 2016 года сертификаты для МСЭ станут обязательными
На проходившей 20 сентября 2016 года конференции Infosecurity Russia выступил официальный представитель ФСТЭК Алексей Кубарев, который рассказал всем присутствующим о новых методических документах ФСТЭК пришедших на смену устаревшим документам РД, классах межсетевых экранов, и, что очень взволновало публику, о требовании ведомства к производителям и реселлерам не поставлять с 1 декабря 2016 года в продажу МСЭ не имеющие  сертификата  нового образца.

Предыстория
Межсетевые экраны являются самыми распространенными сертифицированными средствами защиты информации в России, согласно информации предоставленной ФСТЭК. Это порядка четверти от общего числа средств защиты информации (СЗИ). В виду этого ведомство проявляет большой интерес к данному классу СЗИ. И весьма неслучайно, т.к. прежние документы были неизменны аж с 1997 года.

И вот,  в начале 2016 года вышел в свет приказ №9 от 9.02.2016 года утверждающий новые требования к МСЭ, которые начнут действовать с 1 декабря 2016 года. Что самое важное в документе помимо обновленных технических требований и методик, это то, что ФСТЭК запретил всем вендорам  поставлять  межсетевые экраны с 1 декабря 2016 года без нового сертификата.

Краткий обзор  нововведений

Ниже представлен обзор основных изменений в новых методических документах ФСЭК, произведенный Алексеем Лукацким .

Прежде стоит отметить, что пакет новых документов v2016 были именно переписаны, или даже лучше сказать воссозданы с ноля, а не просто дополнены или отредактировны, как это часто бывает.

И так, ключевые  изменения:
  • Число классов защищенности МСЭ стало 3 для гостайны и 3 для обычных информационных систем (вместо 5-ти по прежнему РД на МСЭ)
  • Вместо плоской классификации сетевых МСЭ, ФСТЭК ввела еще один критерий классификации - тип МСЭ. Выделяется 5 типов - А (уровень сети), Б (уровня логических границ сети), В (уровень узла), Г (уровень Web-сервера) и Д (промышленные МСЭ).
  • Средства защиты должны оцениваться с трех точек зрения - функционал, среда функционирования и требования к разработке (уровни доверия). В новом РД все эти пункты нашли свое отражение. Во первых были усилены основные, функциональные требования к МСЭ.

  • Коренным образом были переработаны и расширены требования к доверию.

  • Регулятор требует выстроить процесс обнаружения и устранения уязвимостей в подаваемом на сертификацию изделии.
  • Также не принимается на оценку соответствия МСЭ, для которого не расписана процедура его обновления - устранения уязвимостей, установки патчей, обновления ядра системы защиты и т.п.

Новый ультиматум

20 сентября на конференции Infosecurity Russia выступил официальный представитель ФСТЭК Алексей Кубарев. В своем выступлении рассказал присутствующим о новых классах межсетевых экранов АБВГД и 6 классах в каждом из них, которые ФСТЭК в виде новых методических материалов ввел в феврале 2016 года.
Напомним, что ФСТЭК ранее официально уже опубликовало эти профили защиты в начале сентября, и только на указанной выше конференции, проходившей 20 сентября,  ведомство известило о том, что с 1 декабря 2016 продажи межсетевых экранов (МСЭ) будут осуществляться только у тех производителей, которые этим профилям будут ясно соответствовать.

Подобное   информационное письмо датированное 26 апреля текущего года  уже публиковалось на сайте ведомтсва. Однако, никаких "ультиматумов" для вендоров на тот момент явно не выставлялось. По заявлению представителей ФСТЭК, компании разработчики, которые заботятся о своем будущем должны были незамедлительно инициировать процесс сертификации и успешно закончить его к требуемому сроку.

Как уточняет источник , опрос проведенный среди вендоров отрасли, т.к. Huawei, Fortinet, Сheckpoint, Palo Alto Networks и даже "Код Безопасности", показывает, что все они не успевают получить необходимый сертификат по новым требованиям к 1 декабря 2016 года. В виду этой коллизии формально к концу года может сложиться  вызванная тем, что заказчик пожелает купить сертифицированный МСЭ, но на рынке такого просто не окажется, а поставить предыдущую версию продукта ему не разрешает требование ФСТЭК. Так что, кто еще не успел, но сильно хочет, крайне необходимо сейчас покупать все что есть сертифицированное до 1 декабря!

Обязательно необходимо сказать оговорку, все межсетевые экраны, установленные до указанной даты, а именно до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям.
firewall Infosecurity Russia мсэ рд сетевые экраны фстэк ультиматум сертификат
Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события