УТВЕРЖДЕНЫ
приказом ФСТЭК России
от 2 июня 2020 года N 76



Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (выписка)



I. Общие положения

     

1. Настоящие Требования являются обязательными требованиями в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (далее - требования по безопасности информации), применяются к программным и программно-техническим средствам технической защиты информации, средствам обеспечения безопасности информационных технологий, включая защищенные средства обработки информации (далее - средства), и устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа, а также для обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (далее - уровни доверия).

2. Настоящие Требования разработаны в соответствии с постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" (Собрание законодательства Российской Федерации, 1995, N 27, ст.2579; 2010, N 18, ст.2238), постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения", приказом ФСТЭК России от 3 апреля 2018 г. N 55 "Об утверждении Положения о системе сертификации средств защиты информации" (зарегистрирован Минюстом России 11 мая 2018 г., регистрационный N 51063; официальный интернет-портал правовой информации http://www.pravo.gov.ru, 14 мая 2018 г.).

3. Выполнение настоящих Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55 "Об утверждении Положения о системе сертификации средств защиты информации".

II. Общие требования по безопасности информации

     

4. Для дифференциации требований по безопасности информации к средствам устанавливается 6 уровней доверия. Самый низкий уровень - шестой, самый высокий - первый.

Средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищенности**, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности***, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных****.

________________

Статья 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст.4736), Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 (Собрание законодательства Российской Федерации, 2018, N 8, ст.1204; 2019, N 16, ст.1955).

** Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933) и приказом ФСТЭК России от 28 мая 2019 г. N 106 (зарегистрирован Минюстом России 13 сентября 2019 г., регистрационный N 55924).

*** Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. N 31 (зарегистрирован Минюстом России 30 июня 2014 г., регистрационный N 32919) (с изменениями, внесенными приказом ФСТЭК России от 23 марта 2017 г. N 49 (зарегистрирован Минюстом России 30 июня 2017 г., регистрационный N 32919) и приказом ФСТЭК России от 9 августа 2018 г. N 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный N 52071).

**** Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст.6257).

Средства, соответствующие 5 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 2 категории*, в государственных информационных системах 2 класса защищенности**, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности***, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных****.

________________

* Статья 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст.4736), Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 (Собрание законодательства Российской Федерации, 2018, N 8, ст.1204; 2019, N 16, ст.1955).

** Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933) и приказом ФСТЭК России от 28 мая 2019 г. N 106 (зарегистрирован Минюстом России 13 сентября 2019 г., регистрационный N 55924).

*** Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. N 31 (зарегистрирован Минюстом России 30 июня 2014 г., регистрационный N 32919) (с изменениями, внесенными приказом ФСТЭК России от 23 марта 2017 г. N 49 (зарегистрирован Минюстом России 30 июня 2017 г., регистрационный N 32919) и приказом ФСТЭК России от 9 августа 2018 г. N 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный N 52071).

**** Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст.6257).

Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории*, в государственных информационных системах 1 класса защищенности**, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности***, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных****, в информационных системах общего пользования II класса*****.

________________

* Статья 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст.4736), Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 (Собрание законодательства Российской Федерации, 2018, N 8, ст.1204; 2019, N 16, ст.1955).

** Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933) и приказом ФСТЭК России от 28 мая 2019 г. N 106 (зарегистрирован Минюстом России 13 сентября 2019 г., регистрационный N 55924).

*** Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. N 31 (зарегистрирован Минюстом России 30 июня 2014 г., регистрационный N 32919) (с изменениями, внесенными приказом ФСТЭК России от 23 марта 2017 г. N 49 (зарегистрирован Минюстом России 30 июня 2017 г., регистрационный N 32919) и приказом ФСТЭК России от 9 августа 2018 г. N 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный N 52071).

**** Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст.6257).

***** Требования о защите информации, содержащейся в информационных системах общего пользования, утвержденные приказом ФСБ России и ФСТЭК России от 31 августа 2010 г. N 416/489 (зарегистрирован Минюстом России 13 октября 2010 г., регистрационный N 18704).

5. При проведении сертификации средства защиты информации должно быть подтверждено соответствие средства настоящим Требованиям.

Устанавливается следующее соответствие классов средств защиты информации и средств вычислительной техники уровням доверия:

средства защиты информации 6 класса должны соответствовать 6 уровню доверия;

средства защиты информации 5 класса должны соответствовать 5 уровню доверия;

средства защиты информации 4 класса и средства вычислительной техники 5 класса должны соответствовать 4 уровню доверия.

6. Средство соответствует уровню доверия, если оно удовлетворяет требованиям к разработке и производству средства, проведению испытаний средства, поддержке безопасности средства, приведенным в таблице 1.

Таблица 1

N

Наименование требования к уровню доверия

Уровень доверия

п/п

6

5

4

1.

Требования к разработке и производству средства:

1.1.

требования к разработке модели безопасности средства

+

1.2.

требования к проектированию архитектуры безопасности средства

+

=

=

1.3.

требования к разработке функциональной спецификации средства

+

+

+

1.4.

требования к проектированию средства

+

=

=

1.5.

требования к разработке проектной (программной) документации

+

+

+

1.6.

требования к средствам разработки, применяемым для создания средства

+

=

=

1.7.

требования к управлению конфигурацией средства

+

+

+

1.8.

требования к разработке документации по безопасной разработке средства

+

=

+

1.9.

требования к разработке эксплуатационной документации

+

=

=

2.

Требования к проведению испытаний средства:

2.1.

требования к тестированию средства

+

+

+

2.2.

требования к испытаниям по выявлению уязвимостей и недекларированных возможностей средства

+

+

+

2.3.

требования к проведению анализа скрытых каналов в средстве

+

3.

Требования к поддержке безопасности средства:

3.1.

требования к устранению недостатков средства

+

+

+

3.2.

требования к обновлению средства

+

+

+

3.3.

требования к документированию процедур устранения недостатков и обновления средства

+

=

=

3.4.

требования к информированию об окончании производства и (или) поддержки безопасности средства

+

=

=


Обозначение "+" в строке требования к уровню доверия указывает на наличие требований, предъявляемых к соответствующему уровню доверия.

Обозначение "=" означает, что требования к уровню доверия совпадают с требованиями, предъявляемыми к предыдущему уровню доверия.

Отсутствие обозначения "+" или "=" означает, что требования к уровню доверия не предъявляются.

III. Требования к разработке и производству средства

     

7. При разработке средства разработчиком должны быть выполнены процедуры, предусматривающие:

1) разработку модели безопасности средства;

2) проектирование архитектуры безопасности средства;

3) разработку функциональной спецификации средства;

4) проектирование средства;

5) разработку проектной (программной) документации;

6) выбор средств разработки, применяемых для создания средства;

7) управление конфигурацией средства;

8) разработку документации по безопасной разработке средства;

9) разработку эксплуатационной документации.

8. К разработке модели безопасности средства предъявляются следующие требования:

8.1. Требования к разработке модели безопасности средства, соответствующего 6 и 5 уровням доверия, не предъявляются.

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»