Информационное сообщение ФСТЭК России от 19 июля 2023 г. N 240/24/3584
Информационное сообщение ФСТЭК России от 19 июля 2023 г. N 240/24/3584
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ К МНОГОФУНКЦИОНАЛЬНЫМ МЕЖСЕТЕВЫМ ЭКРАНАМ УРОВНЯ СЕТИ
от 19 июля 2023 г. N 240/24/3584
В соответствии с пунктом 1 статьи 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", пунктом 2, подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утверждённого Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, и подпунктом "б" пункта 2 постановления Правительства Российской Федерации от 15 мая 2010 г. N 330, приказом ФСТЭК России от 7 марта 2023 г. N 44 (зарегистрирован Минюстом России 14 июня 2023 г., регистрационный N 73832) утверждены Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети (далее – Требования).
Указанный документ предназначен для организаций, осуществляющих разработку и (или) производство многофункциональных межсетевых экранов уровня сети, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации.
В соответствии с приказом ФСТЭК России от 7 марта 2023 г. N 44 пункт 15 Требований вступает в силу с 1 января 2025 г.
Требования включают минимально необходимые требования по безопасности информации, предъявляемые к уровню доверия многофункционального межсетевого экрана уровня сети, управлению доступом в многофункциональном межсетевом экране уровня сети, идентификации и аутентификации пользователей многофункционального межсетевого экрана уровня сети, фильтрации сетевого трафика, обнаружению и блокированию компьютерных атак, обнаружению и блокированию вредоносного программного обеспечения, доверенной загрузке многофункционального межсетевого экрана уровня сети, тестированию и контролю целостности многофункционального межсетевого экрана уровня сети, производительности многофункционального межсетевого экрана уровня сети, аппаратной платформе многофункционального межсетевого экрана уровня сети, режимам работы многофункционального межсетевого экрана уровня сети, регистрации событий безопасности в многофункциональном межсетевом экране уровня сети, обеспечению бесперебойного функционирования и восстановления многофункционального межсетевого экрана уровня сети, взаимодействию с иными средствами защиты информации, а также к централизованному и удаленному управлению многофункциональным межсетевым экраном уровня сети.
При включении в многофункциональные межсетевые экраны уровня сети дополнительных функций безопасности требования к таким функциям безопасности должны быть заданы в технических условиях или техническом задании, а полнота и корректность их реализации оценены при проведении сертификации многофункциональных межсетевых экранов уровня сети.
Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий в соответствии с Положением о системе сертификации средств защиты информации, утверждённым приказом ФСТЭК России от 3 апреля 2018 г. N 55.
Многофункциональные межсетевые экраны уровня сети, соответствующие 6 классу защиты, применяются в значимых объектах критической информационной инфраструктуры 3 категории значимости, в государственных информационных системах 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.
Многофункциональные межсетевые экраны уровня сети, соответствующие 5 классу защиты, применяются в значимых объектах критической информационной инфраструктуры 2 категории значимости, в государственных информационных системах 2 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.
Многофункциональные межсетевые экраны уровня сети, соответствующие 4 классу защиты, применяются в значимых объектах критической информационной инфраструктуры 1 категории значимости, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.
С 14 июня 2023 г. сертификация многофункциональных межсетевых экранов уровня сети осуществляется на соответствие Требованиям.
Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций Требованиями производится в соответствии с Порядком обеспечения органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России, размещенном на официальном сайте ФСТЭК России www.fstec.ru в подразделе "Обеспечение документами" раздела "Документы".
Выписка из Требований размещена на официальном сайте ФСТЭК России www.fstec.ru в подразделе "Сертификация. Специальные нормативные и методические документы".
Заместитель директора ФСТЭК России
В.Лютиков