На этот раз затронем вопросы, связанные с приостановкой действия сертификатов ФСТЭК России на средства защиты информации.
Приостановка сертификатов ФСТЭК
1. Можно ли продолжать эксплуатацию аттестованного объекта, в системе защиты которого есть СЗИ, с приостановленным сертификатом?
Да.
a. В течение какого периода? Как минимум на время приостановки сертификата, максимум пока СЗИ находится в реестре сертифицированных средств ФСТЭК России.
b. Какими документами регламентируется? Конкретный документ отсутствует (см., например, позицию производителя: О приостановке сертификатов соответствия Secret Net Studio – C и Secret Net LSP – C (securitycode.ru)).
c. Какие действия должен предпринять владелец ОИ? В настоящее время конкретные требования со стороны регулятора отсутствуют. В качестве рекомендации: регулярно проверять реестр сертифицированных средств ФСТЭК России, запросить информацию у производителя СЗИ о планируемом сроке снятия приостановки действия сертификата соответствия.
2. Можно ли аттестовать новый объект/успешно провести пер. контроль ОИ, в системе защиты которого есть СЗИ с приостановленным сертификатом? При каких условиях?
Успешно провести контроль эффективности ОИ, в системе защиты которого есть СЗИ с приостановленным сертификатом, возможно. Аттестовать новый объект возможно при условии, что СЗИ приобретено до даты приостановки срока действия сертификата. При этом необходимо минимизировать возможность реализации новых потенциальных уязвимостей.
3. В течение какого срока сертификат соответствия ФСТЭК России может иметь статус приостановлен?
В соответствии с п.84 Положения о системе сертификации средств защиты информации (утверждено Приказом ФСЭК России от 3 апреля 2018 года №55), который гласит:
«… Действие сертификата соответствия может быть приостановлено на срок не более 90 календарных дней.
ФСТЭК России в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает заявителю уведомление о приостановлении действия сертификата соответствия. В уведомлении указывается срок устранения несоответствия средства защиты информации требованиям по безопасности информации, который не должен превышать 90 календарных дней. …».
4. Можно ли продолжать эксплуатацию аттестованного объекта, в системе защиты которого есть СЗИ, с сертификатом, действие которого прекращено?
Да, при условии нахождения СЗИ в реестре сертифицированных средств ФСТЭК России.
a. В течение какого периода? В течение всего срока нахождения СЗИ в реестре сертифицированных средств ФСТЭК России.
b. Какими документами регламентируется? Конкретный документ отсутствует.
c. Какие действия должен предпринять владелец ОИ? В настоящее время конкретные требования со стороны регулятора отсутствуют. В качестве рекомендации: регулярно проверять реестр сертифицированных средств ФСТЭК России.
5. Можно ли аттестовать новый объект/успешно провести пер. контроль ОИ, в системе защиты которого есть СЗИ с сертификатом, действие которого прекращено? При каких условиях?
Получить положительное заключение по результатам аттестационных испытаний нового ОИ, на котором обязательно применение сертифицированных средств защиты (ГИС, например), в указанном случае не представляется возможным. В качестве исключения данную возможность может предоставить факт того, что СЗИ приобретено до даты приостановки срока действия сертификата (предполагается документальное подтверждение, например товарная накладная). Однако данные действия рекомендуется предварительно согласовать с ФСТЭК России.
Успешное проведение периодического контроля ОИ возможно при условии нахождения СЗИ в реестре сертифицированных средств ФСТЭК России на момент его проведения.