ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК РОССИИ)
ИНФОРМАЦИОННОЕ ПИСЬМО
Об утверждении Требований к средствам доверенной загрузки
от 6 февраля 2014 г. N 240/24/405
В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, приказом ФСТЭК России от 27 сентября 2013 г. N 119 (зарегистрирован Минюстом России 16 декабря 2013 г., рег. N 30604) утверждены Требования к средствам доверенной загрузки (далее – Требования), которые вступили в действие с 1 января 2014 г.
Требования применяются к программным и программно-техническим средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом и реализующим функции по предотвращению несанкционированного доступа к программным и (или) техническим ресурсам средства вычислительной техники на этапе его загрузки (далее – средства доверенной загрузки).
Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление обязательной сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.
Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий.
В Требованиях выделены следующие типы средств доверенной загрузки:
средства доверенной загрузки уровня базовой системы ввода-вывода;
средства доверенной загрузки уровня платы расширения;
средства доверенной загрузки уровня загрузочной записи.
Для дифференциации требований к функциям безопасности средств доверенной загрузки выделяются шесть классов защиты средств доверенной загрузки. Самый низкий класс – шестой, самый высокий – первый.
Средства доверенной загрузки, соответствующие 6 классу защиты, применяются в информационных системах, не являющихся государственными информационными системами, информационными системами персональных данных, информационными системами общего пользования и не предназначенных для обработки информации ограниченного доступа, содержащей сведения, составляющие государственную тайну.
Средства доверенной загрузки, соответствующие 5 классу защиты, применяются в государственных информационных системах 3 класса защищенности* в случае отсутствия взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, а также в государственных информационных системах 4 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 уровня защищенности персональных данных** в случае актуальности угроз 3-го типа** и отсутствия взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, а также при необходимости обеспечения 4 уровня защищенности персональных данных.
Средства доверенной загрузки, соответствующие 4 классу защиты, применяются в государственных информационных системах 3 класса защищенности* в случае их взаимодействия с информационно-телекоммуникационными сетями международного информационного обмена, а также в государственных информационных системах 1 и 2 классов защищенности*, в информационных системах персональных данных при необходимости обеспечения 3 уровня защищенности персональных данных** в случае актуальности угроз 2-го типа** или взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, а также при необходимости обеспечения 1 и 2 уровня защищенности персональных данных**, в информационных системах общего пользования II класса***.
Средства доверенной загрузки, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
Требования включают общие требования к средствам доверенной загрузки и требования к функциям безопасности средств доверенной загрузки.
Детализация требований к функциям безопасности средств доверенной загрузки, установленных Требованиями, а также взаимосвязи этих требований приведены для каждого класса и типа средств доверенной загрузки в профилях защиты, утвержденных 30 декабря 2013 г. ФСТЭК России в качестве методических документов в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
Спецификация профилей защиты средств доверенной загрузки для каждого типа средства доверенной загрузки и класса защиты средства доверенной загрузки приведена в таблице.
Класс защиты Тип средства доверенной загрузки |
6 |
5 |
4 | 3 |
2 |
1 |
Средство доверенной загрузки уровня базовой системы ввода-вывода | — | — | ИТ.СДЗ.УБ4.ПЗ | ИТ.СДЗ.УБ3.ПЗ | ИТ.СДЗ.УБ2.ПЗ | ИТ.СДЗ.УБ1.ПЗ |
Средство доверенной загрузки уровня платы расширения | — | — | ИТ.СДЗ.ПР4.ПЗ | ИТ.СДЗ.ПР3.ПЗ | ИТ.СДЗ.ПР2.ПЗ | ИТ.СДЗ.ПР1.ПЗ |
Средство доверенной загрузки уровня загрузочной записи | ИТ.СДЗ.ЗЗ6.ПЗ | ИТ.СДЗ.ЗЗ5.ПЗ | — | — | — | — |
Идентификаторы профилей защиты приводятся в формате ИТ.СДЗ.»тип»»класс».ПЗ, где обозначение «тип» может принимать обозначение «УБ», которое определяет, что средство доверенной загрузки относится к уровню базовой системы ввода-вывода, обозначение «ПР», которое определяет, что средство доверенной загрузки относится к уровню платы расширения, обозначение «ЗЗ», которое определяет, что средство доверенной загрузки относится к уровню загрузочной записи, а «класс» может принимать значения от 1 до 6, соответствующие классу защиты средства доверенной загрузки.
Таким образом, с 1 января 2014 г. сертификация средств защиты информации, реализующих функции доверенной загрузки, в системе сертификации ФСТЭК России проводится на соответствие Требованиям к средствам доверенной загрузки, утвержденным приказом ФСТЭК России от 27 сентября 2013 г. N 119.
Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций Требованиями к средствам доверенной загрузки, утвержденными приказом ФСТЭК России от 27 сентября 2013 г. N 119, а также методическими документами ФСТЭК России, содержащими профили защиты средств доверенной загрузки 3, 2 и 1 классов защиты, производится в соответствии с Временным порядком обеспечения органов государственной власти Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России (www.fstec.ru).
Методические документы ФСТЭК России, содержащие профили защиты средств доверенной загрузки 6, 5 и 4 классов защиты размещены на официальном сайте ФСТЭК России www.fstec.ru в разделе «Документы. Сертификация. Специальные нормативные документы».
Примечание: * Устанавливается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608).
** Устанавливается в соответствии Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г., N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).
*** Устанавливается в соответствии с Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ России и ФСТЭК России от 31 августа 2010 г. N 416/489 (зарегистрирован Минюстом России 13 октября 2010 г., регистрационный N 18704).