Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.


Сегодня в рамках ТБ Форума прошла Конференция ФСТЭК “Актуальные вопросы защиты информации”, где представители регулятора освещали действительно актуальные вопросы. В Твиттере по тегу #ТБФорум можно найти немало прозвучавших тезисов и фотографии слайдов из презентаций, я же хотел бы остановиться на одном из вопросов, возникших ещё в конце прошлого года.

Приказом ФСТЭК России от 9 февраля 2016 г. №9 (зарегистрирован Минюстом России 25 марта 2016 г., регистрационный №41564) были утверждены Требования к межсетевым экранам, которые вступили в силу с 1 декабря 2016 г. и породили массу вопросов, особенно в связи с тем, что сертифицированных по новым требованиям межсетевых экранов практически не было, а ФСТЭК в своём информационном сообщении явно указывала, что:

...с 1 декабря 2016 г. разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать Требованиям. С 1 декабря 2016 г. сертификация, а также инспекционный контроль серийного производства межсетевых экранов будут осуществляться только на соответствие Требованиям. В связи с этим с 1 июля 2016 г. ФСТЭК России не принимаются к рассмотрению заявки на сертификацию межсетевых экранов на соответствие иным требованиям. Межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям. Собственно, что надо было делать 2 декабря производителям, поставщикам и покупателям сертифицированных межсетевых экранов без новых сертификатов, было не до конца понятно. На поступавшие обращения ФСТЭК отвечала в частном порядке, но вот, наконец, все вопросы обобщили и подготовили соответствующее "Информационное сообщение по вопросам разработки, производства, поставки, применения и эксплуатации межсетевых экранов", приурочить которое хотели как раз к ТБ Форуму, но немного не успели и, в итоге, должны опубликовать его на этой неделе. [caption id="attachment_10246" align="aligncenter" width="1024"]Информационное сообщение ФСТЭК по вопросам разработки, производства, поставки, применения и эксплуатации межсетевых экранов Информационное сообщение ФСТЭК по вопросам разработки, производства, поставки, применения и эксплуатации межсетевых экранов[/caption] Тем не менее, основные моменты на ТБ Форуме уже рассказали. Суть позиции ФСТЭК примерно такова: Требования к межсетевым экранам позволяют отнести межсетевой экран к тому или иному классу, а вот требования к защите информации, содержащейся в информационной системе, это совсем другое. Определяются эти требования другими документами. Например, теми же приказами ФСТЭК №17, №21 и №31. Таким образом, пока нет изменений в этих документах (а для 17-ого приказа как раз сейчас изменения готовятся) можно использовать межсетевые экраны, сертифицированные по старым требованиям. Виталий Лютиков явно сказал, что в противном случае все действующие сертификаты они бы просто аннулировали. Итак, если вы сегодня:
  • разрабатываете/сертифицируете межсетевой экран - делайте это в соответствии с новыми требованиями;
  • производите/поставляете межсетевой экран - можете использовать старый МЭ (сертифицированный по старым требованиям), если у него есть действующий сертификат;
  • применяте межсетевой экран для защиты информации - можете применять старый МЭ, если документы, в рамках которых осуществляется защита информации, это позволяют (сейчас, до изменений, это позволяют все документы);
  • эксплуатируете старый межсетевой экран - можете продолжать это делать, пока действует его сертификат;
  • аттестуете информационную систему, в которой применяются старые межсетевые экраны - тоже можно, если соответствующие документы позволяют (опять-таки, сейчас пока позволяют);
  • хотите продлить сертификат на эксплуатируемый старый межсетевой экран - в частном порядке можете это сделать, но только если для него отсутствуют уязвимости, актуальные для той информационной системы, в которой он применяется.
Пока суть примерно такова, дождёмся официальной публикации Информационного сообщения - можно будет вчитаться в формулировки детальнее.      

--- === @zlonov === ---