06.03.2017

Поправки ФСТЭК в 21-й и 31-й приказы

ФСТЭК опубликовала проект приказа, вносящего поправки в свои 21-й и 31-й приказы по защите информационных систем персональных данных и АСУ ТП соответственно. Об этих изменениях говорилось на конференции ФСТЭК и вот теперь они опубликованы в виде проекта, который врядли будет отличаться от своей финальной версии.

Итак, что же говорит новая редакция 31-го приказа? Вместо следующей схемы применения сертифицированных средств защиты информации (если это необходимо):


предлагается вот такая схема. По сути поменялось мало что - ФСТЭК всех приводит к единому знаменателю.


С 21-м приказом ситуация схожая. Было сложно (есть Интернет или нет, какие угрозы актуальны...):


Стало: 


Единственное, что добавится в 21/31-й приказ, это следующая формулировка: "В автоматизированных системах управления [информационных системах] могут применяться средства защиты информации, сертифицированные на соответствие требованиям по безопасности информации, указанным в технических условиях (заданиях по безопасности). При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований". Тоже понятный пассаж - кроме требований на промышленные МСЭ больше у нас ничего для АСУ ТП нет (РД на промышленные антивирусы только пишется) и поэтому логично, что ФСТЭК прямо разрешает сертификацию на ТУ или ЗБ. Ситуация с ИСПДн чуть лучше, но и там тоже рынок сертифицированных продуктов далек от идеала. Ни продуктов отечественных нет под все требования 17-го приказа, ни требований на сертификацию (их всего 6 пока + СВТ). Раньше ФСТЭК заявляла, что не приветствует сертификацию по ТУ/ЗБ и всех будет переводить на РД. Но пока не успевает.

И опять же помним, что сертификация средств защиты по 21/31-му приказам нужна только в тех случаях, когда оператор/владелец ИСПДн/АСУ ТП сам этого захотел - обязанности сертифицировать средства защиты для ИСПДн/АСУ ТП нигде не установлено (только оценка соответствия в установленном порядке).