Требования ФСТЭК к оборудованию для КИИ

Дата публикации: 28 февраля 2024

Вадим Владимирович Петров
Ведущий эксперт по защите информации

505

Уже полгода действует закон о критической информационной инфраструктуре, и близок тот момент, когда круг субъектов КИИ, наконец, окончательно определится. Для них появится другая забота: обеспечение технической защиты информационной системы, закупка соответствующего оборудования, профессиональная помощь специалистов по защите информации и т. д. И если для частного бизнеса — обладателя объекта КИИ еще есть поле для манёвра, то для тех систем, которые признаны значимыми и входят в число ГИС, закупка технических средств и программного обеспечения проходит исключительно в порядке тендерных торгов.

Соответственно для субъектов значимых КИИ возникает вопрос: какие требования определены в законодательстве для технических средств, используемых для создания систем защиты? Это важно в первую очередь для заказчиков, т. к. конкурсная документация обязательно содержит перечень требований к продукту, а при необходимости их придётся обосновать.

Основные требования для защиты КИИ

Соответствие нормам приказов ФСТЭК №№ 235 и 239 и возможность использования для совместной работы с системой ГосСоПКА — два основных общих требования к оборудованию, которое будет использоваться для создания защищенных систем на объектах КИИ. Более детальных требований ФСТЭК для защиты КИИ пока нет. Можно выделить лишь несколько рекомендаций на той базе, что уже существует. С развитием практики работы и защиты объектов КИИ, особенно значимых, дополнятся и требования.

1. Если субъект КИИ — государственный или муниципальный орган, приобретаемые техсредства должны быть сертифицированы ФСТЭК. Если предполагается интеграция в систему ГосСОПКА, то обязательны сертификаты по недекларированным возможностям и на средства контроля защиты информации. Проектирование должна проводить фирма после оформления лицензии ФСТЭК ТЗКИ. Для работы с гостайной компания-исполнитель должна иметь лицензию ФСБ на работу с государственной тайной.

Для тех, кто предпочитает комплексные программно-аппаратные решения «под ключ», лучше обратить внимание, что сертификат должен быть выдан на весь комплекс в целом, а не на отдельные компоненты системы.

Кстати, коммерческим структурам — владельцев объекта КИИ, желательно придерживаться тех же требований ФСТЭК к наличию сертификата, иначе получится, что производитель оборудования не отвечает за соответствие предоставленного продукта требованиям ФСТЭК. Исключением может быть ситуация, когда субъект КИИ заказывает программное обеспечение и аппаратуру по индивидуальному проекту под конкретную систему.

2. Обязательное требование к поставщику — техподдержка аппаратуры на весь срок службы. Если предполагается работа с ГосСОПКА — поставщик и продукция должны быть только отечественными. В остальных случаях обязательно прописывается запрет на наличие в аппаратуре запрещённого функционала и ответственность поставщика за это. Вообще, чтобы исключить риски, советуем не закупать технические средства, страной производства которых являются государства, поддерживающие санкции против РФ.

3. Если оборудование будет использоваться в том числе для взаимодействия с системой ГосСОПКА, следует прописать требование о поддержании форматов передачи и получения сведений в национальном координационном центре компьютерных инцидентов (НКЦКИ).

4. Поставщик в отклике на заявку обязан подтвердить, что средства, предназначенные для противодействия хакерским атакам и ликвидации последствий от компьютерных инцидентов, соответствуют требованиям, предъявляемым к аппаратному обеспечению участников системы ГосСОПКА.

Пока конкретных рекомендаций нет, заказчикам придётся придерживаться рамочных рекомендаций и на практике вырабатывать требования к поставщикам для той или иной информационной системы КИИ.

Нужна косультация по новости?

Проконсультироваться