На сайте ФСТЭК России опубликованы выписки из требований по безопасности информации к средствам контейнеризации (утверждены приказом ФСТЭК России от 4 июля 2022 г. № 118) и виртуализации (утверждены приказом ФСТЭК России от 27 октября 2022 г. № 187) для 6, 5 и 4 классов защиты.
Выполнение требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. № 55.
Для дифференциации требований по безопасности информации к данным средствам устанавливается 6 классов защиты. Самый низкий класс – шестой, самый высокий – первый.
Соответствие классов средств, области применения и требований к необходимым для них уровням доверия приведены в таблице №1.
Более подробно реализуемые функции безопасности описаны в соответствующих выписках.
С точки зрения создания системы защиты соответствующих объектов стоит обратить внимание на обязательность применения данных требований при проведении работ по оценке соответствия, в том числе в форме, отличной от сертификации (например, для средств защиты ИСПДн, ЗОКИИ и АСУ ТП), и необходимости применения сертифицированных хостовых операционных систем, в среде которых функционируют средства контейнеризации и виртуализации.
Согласно информационным сообщениям ФСТЭК России (от 1 декабря 2022 г. №240/24/6265 и от 20 января 2023 г. №240/24/169) сертификация средств контейнеризации на соответствие требованиям осуществляется с 29 сентября 2022 г., а средств виртуализации с 22 декабря 2022 г.
На момент написания статьи (середина февраля 2023 года) в реестре сертифицированных средств защиты информации указана операционная система специального назначения «Astra Linux Special Edition», сертифицированная в том числе на соответствие указанным требованиям (по 1 классу защиты).
До внесения соответствующих изменений в нормативную документацию (по аналогии с изменениями, которые были сделаны после утверждения Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (Требования доверия)) допускается использование подобных средств, ранее сертифицированных по Требованиям доверия и ТУ.
Таблица №1
| Класс средств | Область применения | Требования к уровню доверия средства контейнеризации/виртуализации и хостовой ОС |
|---|---|---|
| 6 | ЗОКИИ 3 категории; ГИС 3 класса; АСУ ТП 3 класса; ИСПДн 3 и 4 уровня защищенности | 6 |
| 5 | ЗОКИИ 2 категории; ГИС 2 класса; АСУ ТП 2 класса; ИСПДн 2 уровня защищенности | 5 |
| 4 | ЗОКИИ 1 категории; ГИС 1 класса; АСУ ТП 1 класса; ИСПДн 1 уровня защищенности; ИСОП II класса | 4 |