ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К СРЕДСТВАМ КОНТРОЛЯ СЪЕМНЫХ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ
от 24 декабря 2014 г. N 240/24/4918
В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, приказом ФСТЭК России от 28 июля 2014 г. N 87 (зарегистрирован Минюстом России 5 сентября 2014 г., регистрационный N 33994) утверждены Требования к средствам контроля съемных машинных носителей информации (далее – Требования), которые вступили в силу с 1 декабря 2014 г.
Требования применяются к программным и программно-техническим средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом и реализующим функции по предотвращению несанкционированного доступа к информации с использованием съемных машинных носителей информации, подключаемых к информационной системе, и (или) по предотвращению несанкционированного отчуждения (переноса) информации ограниченного доступа с зарегистрированных (учтенных) съемных машинных носителей информации.
Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление обязательной сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.
Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий.
В Требованиях выделены следующие типы средств контроля съемных машинных носителей информации:
средства контроля подключения съемных машинных носителей информации;
средства контроля отчуждения (переноса) информации со съемных машинных носителей информации.
Для дифференциации требований к функциям безопасности средств контроля съемных машинных носителей информации выделяются шесть классов защиты средств контроля съемных машинных носителей информации. Самый низкий класс – шестой, самый высокий – первый.
Средства контроля съемных машинных носителей информации, соответствующие 6 классу защиты, применяются в информационных системах, не являющихся государственными информационными системами, информационными системами персональных данных, информационными системами общего пользования и не предназначенных для обработки информации ограниченного доступа, содержащей сведения, составляющие государственную тайну.
Средства контроля съемных машинных носителей информации, соответствующие 5 классу защиты, применяются в государственных информационных системах 3 класса защищенности* в случае отсутствия взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, а также в государственных информационных системах 4 класса защищенности*, в информационных системах персональных данных при необходимости обеспечения 3 уровня защищенности персональных данных** в случае актуальности угроз 3-го типа** и отсутствия взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, а также при необходимости обеспечения 4 уровня защищенности персональных данных**.
Средства контроля съемных машинных носителей информации, соответствующие 4 классу защиты, применяются в государственных информационных системах 3 класса защищенности* в случае их взаимодействия с информационно-телекоммуникационными сетями международного информационного обмена, а также в государственных информационных системах 1 и 2 классов защищенности*, в информационных системах персональных данных при необходимости обеспечения 3 уровня защищенности персональных данных** в случае актуальности угроз 2-го типа** или взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, а также при необходимости обеспечения 1 и 2 уровня защищенности персональных данных**, в информационных системах общего пользования II класса***.
Средства контроля съемных машинных носителей информации, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
Требования включают общие требования к средствам контроля съемных машинных носителей информации и требования к функциям безопасности средств контроля съемных машинных носителей информации.
Детализация требований к функциям безопасности средств контроля съемных машинных носителей информации, установленных Требованиями, а также взаимосвязи этих требований приведены для каждого класса и типа средств контроля съемных машинных носителей информации в профилях защиты, утвержденных 1 декабря 2014 г. ФСТЭК России в качестве методических документов в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
Спецификация профилей защиты средств контроля съемных машинных носителей информации для каждого типа средства контроля съемных машинных носителей информации и класса защиты средств контроля съемных машинных носителей информации приведена в таблице.
Класс
защиты Тип |
6 | 5 | 4 | 3 | 2 | 1 |
Средство контроля подключения съемных машинных носителей информации | ИТ.СКН. П6.ПЗ |
ИТ.СКН. П5.ПЗ |
ИТ.СКН. П4.ПЗ |
ИТ.СКН. П3.ПЗ |
ИТ.СКН. П2.ПЗ |
ИТ.СКН. П1.ПЗ |
Средство контроля отчуждения (переноса) информации со съемных машинных носителей информации | ‑ | ‑ | ИТ.СКН. Н4.ПЗ |
ИТ.СКН. Н3.ПЗ |
ИТ.СКН. Н2.ПЗ |
ИТ.СКН. Н1.ПЗ |
Идентификаторы профилей защиты приводятся в формате ИТ.СКН.»тип»»класс».ПЗ, где обозначение «тип» может принимать значение «П», которое определяет, что средство контроля съемных машинных носителей информации относится к средствам контроля подключения съемных машинных носителей информации, или значение «Н», которое определяет, что средство контроля съемных машинных носителей информации относится к средствам контроля отчуждения (переноса) информации со съемных машинных носителей информации, а обозначение «класс» может принимать значения от 1 до 6, соответствующие классу защиты средства контроля съемных машинных носителей.
Таким образом, с 1 декабря 2014 г. сертификация средств защиты информации, реализующих функции по предотвращению несанкционированного доступа к информации с использованием съемных машинных носителей информации, подключаемых к информационной системе, и (или) по предотвращению несанкционированного отчуждения (переноса) информации ограниченного доступа с зарегистрированных (учтенных) съемных машинных носителей информации, в системе сертификации ФСТЭК России проводится на соответствие Требованиям к средствам контроля съемных машинных носителей информации, утвержденным приказом ФСТЭК России от 28 июля 2014 г. N 87.
Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организацийТребованиями к средствам контроля съемных машинных носителей информации, утвержденными приказом ФСТЭК России от 28 июля 2014 г. N 87, а также методическими документами ФСТЭК России, содержащими профили защиты средств контроля съемных машинных носителей информации 3, 2 и 1 классов защиты, производится в соответствии с Временным порядком обеспечения органов государственной власти Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России(www.фстэк.рф).
Методические документы ФСТЭК России, содержащие профили защиты средств контроля съемных машинных носителей информации 6, 5 и 4 классов защиты размещены на официальном сайте ФСТЭК России www.фстэк.рф в разделе «Документы. Сертификация. Специальные нормативные документы».
Примечания: | * | Устанавливается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17(зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608). |
** | Устанавливается в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г., N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257). | |
*** | Устанавливается в соответствии с Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ России и ФСТЭК России от 31 августа 2010 г. N 416/489 (зарегистрирован Минюстом России 13 октября 2010 г., регистрационный N 18704). |
Начальник 2 управления
В.Лютиков