Поправки ФСТЭК в 21-й и 31-й приказы

Законодательство
ФСТЭК опубликовала проект приказа, вносящего поправки в свои 21-й и 31-й приказы по защите информационных систем персональных данных и АСУ ТП соответственно. Об этих изменениях говорилось на конференции ФСТЭК и вот теперь они опубликованы в виде проекта, который врядли будет отличаться от своей финальной версии.

Итак, что же говорит новая редакция 31-го приказа? Вместо следующей схемы применения сертифицированных средств защиты информации (если это необходимо):


предлагается вот такая схема. По сути поменялось мало что — ФСТЭК всех приводит к единому знаменателю.

С 21-м приказом ситуация схожая. Было сложно (есть Интернет или нет, какие угрозы актуальны…):

Стало: 

Единственное, что добавится в 21/31-й приказ, это следующая формулировка: «В автоматизированных системах управления [информационных системах] могут применяться средства защиты информации, сертифицированные на соответствие требованиям по безопасности информации, указанным в технических условиях (заданиях по безопасности). При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований«. Тоже понятный пассаж — кроме требований на промышленные МСЭ больше у нас ничего для АСУ ТП нет (РД на промышленные антивирусы только пишется) и поэтому логично, что ФСТЭК прямо разрешает сертификацию на ТУ или ЗБ. Ситуация с ИСПДн чуть лучше, но и там тоже рынок сертифицированных продуктов далек от идеала. Ни продуктов отечественных нет под все требования 17-го приказа, ни требований на сертификацию (их всего 6 пока + СВТ). Раньше ФСТЭК заявляла, что не приветствует сертификацию по ТУ/ЗБ и всех будет переводить на РД. Но пока не успевает.

И опять же помним, что сертификация средств защиты по 21/31-му приказам нужна только в тех случаях, когда оператор/владелец ИСПДн/АСУ ТП сам этого захотел — обязанности сертифицировать средства защиты для ИСПДн/АСУ ТП нигде не установлено (только оценка соответствия в установленном порядке).

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Els

    Насколько я помню, ранее утверждалось, что СЗИ, прошедшие в установленном порядке оценку соответствия, в ИСПДн должны использоваться только, если актуальны угрозы, которые только такими средствами могут быть нейтрализованы. Разве изменения в 21 Приказе это отменяют?

    Ответить
  2. Алексей Лукацкий

    Нет. Только причем тут сертификация и оценка соответствия? Это не равнозначные понятия

    Ответить
  3. Els

    Да, конечно. Просто по последнему абзацу поста складывается впечатление, что сертификация не обязательна, а вот оценка соответствия — наоборот. В связи с тем, что раньше Вами озвучивалась другая позиция, а пост посвящен изменениям в Приказах 21 и 31, и возник вопрос об изменении обязательности и необязательности использования СЗИ, прошедших оценку соответствия.

    Ответить
  4. Алексей Лукацкий

    Не совсем так. Я никогда не говорил о необязательности оценки соответствия. Наоборот. Она предусмотрена законом, в отличие от обязательной сертификации. Вот последняя как раз необязательна.

    Ответить