На сайте ФСТЭК России опубликованы выписки из требований по безопасности информации к средствам контейнеризации (утверждены приказом ФСТЭК России от 4 июля 2022 г. № 118) и виртуализации (утверждены приказом ФСТЭК России от 27 октября 2022 г. № 187) для 6, 5 и 4 классов защиты.

Выполнение требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. № 55.

Для дифференциации требований по безопасности информации к данным средствам устанавливается 6 классов защиты. Самый низкий класс – шестой, самый высокий – первый.

Соответствие классов средств, области применения и требований к необходимым для них уровням доверия приведены в таблице №1.

Более подробно реализуемые функции безопасности описаны в соответствующих выписках.

С точки зрения создания системы защиты соответствующих объектов стоит обратить внимание на обязательность применения данных требований при проведении работ по оценке соответствия, в том числе в форме, отличной от сертификации (например, для средств защиты ИСПДн, ЗОКИИ и АСУ ТП), и необходимости применения сертифицированных хостовых операционных систем, в среде которых функционируют средства контейнеризации и виртуализации.

Согласно информационным сообщениям ФСТЭК России (от 1 декабря 2022 г. №240/24/6265 и от 20 января 2023 г. №240/24/169) сертификация средств контейнеризации на соответствие требованиям осуществляется с 29 сентября 2022 г., а средств виртуализации с 22 декабря 2022 г.

На момент написания статьи (середина февраля 2023 года) в реестре сертифицированных средств защиты информации указана операционная система специального назначения «Astra Linux Special Edition», сертифицированная в том числе на соответствие указанным требованиям (по 1 классу защиты).

До внесения соответствующих изменений в нормативную документацию (по аналогии с изменениями, которые были сделаны после утверждения Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (Требования доверия)) допускается использование подобных средств, ранее сертифицированных по Требованиям доверия и ТУ.

Таблица №1
Класс средств Область применения Требования к уровню доверия средства контейнеризации/виртуализации и хостовой ОС
6 ЗОКИИ 3 категории;
ГИС 3 класса;
АСУ ТП 3 класса;
ИСПДн 3 и 4 уровня защищенности
6
5 ЗОКИИ 2 категории;
ГИС 2 класса;
АСУ ТП 2 класса;
ИСПДн 2 уровня защищенности
5
4 ЗОКИИ 1 категории;
ГИС 1 класса;
АСУ ТП 1 класса;
ИСПДн 1 уровня защищенности;
ИСОП II класса
4

Мы готовы ответить на ваши вопросы и подобрать оптимальное решение!