Рубрикатор |
Блоги | Алексей ЛУКАЦКИЙ |
Поправки ФСТЭК в 21-й и 31-й приказы
09 марта 2017 |
Итак, что же говорит новая редакция 31-го приказа? Вместо следующей схемы применения сертифицированных средств защиты информации (если это необходимо)
предлагается вот такая схема. По сути поменялось мало что - ФСТЭК всех приводит к единому знаменателю.
С 21-м приказом ситуация схожая. Было сложно (есть Интернет или нет, какие угрозы актуальны...):
Стало:
Единственное, что добавится в 21/31-й приказ, это следующая формулировка: "В автоматизированных системах управления [информационных системах] могут применяться средства защиты информации, сертифицированные на соответствие требованиям по безопасности информации, указанным в технических условиях (заданиях по безопасности). При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований". Тоже понятный пассаж - кроме требований на промышленные МСЭ больше у нас ничего для АСУ ТП нет (РД на промышленные антивирусы только пишется) и поэтому логично, что ФСТЭК прямо разрешает сертификацию на ТУ или ЗБ. Ситуация с ИСПДн чуть лучше, но и там тоже рынок сертифицированных продуктов далек от идеала. Ни продуктов отечественных нет под все требования 17-го приказа, ни требований на сертификацию (их всего 6 пока + СВТ). Раньше ФСТЭК заявляла, что не приветствует сертификацию по ТУ/ЗБ и всех будет переводить на РД. Но пока не успевает.
И опять же помним, что сертификация средств защиты по 21/31-му приказам нужна только в тех случаях, когда оператор/владелец ИСПДн/АСУ ТП сам этого захотел - обязанности сертифицировать средства защиты для ИСПДн/АСУ ТП нигде не установлено (только оценка соответствия в установленном порядке).
Источник
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.