В июле 2020 года на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК) был опубликован приказ от 14.05.2020 № 68. Документ корректирует содержание пункта 12 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом службы от 18 февраля 2013 г. № 21. Изменения вступят в силу с 1 января 2021 года.
Нововведения предписывают использовать в информационных системах персональных данных (далее – ИСПДн) сертифицированные по требованиям безопасности информации средства защиты информации (СЗИ) определенного класса и уровня доверия. Для ИСПДн 1 уровня защищенности персональных данных должны применяться СЗИ 4 уровня доверия, для ИСПДн 2 уровня защищенности – 5 уровня доверия, для ИСПДн 3 и 4 уровней защищенности – 6 уровня доверия.
При определении уровня доверия СЗИ нужно руководствоваться Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденными приказом ФСТЭК России от 30 июля 2018 г. № 131. На определение уровня доверия влияют требования к разработке и производству, проведению испытаний, поддержке безопасности и обновлению СЗИ.
Требования к уровням доверия начали предъявляться к СЗИ с 1 июня 2019 года. На тот момент они имели значение лишь для разработчиков и производителей программных и программно-технических (программно-аппаратных) средств защиты информации, средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации. В срок до 1 января 2020 года необходимо было провести оценку соответствия СЗИ новым Требованиям и представить результаты в ФСТЭК России для переоформления сертификатов соответствия.
«После выхода приказа № 68 многие операторы ИСПДн задались вопросом, нужно ли менять или обновлять СЗИ, которые функционируют в подсистеме защиты их ИСПДн. В первую очередь с данным вопросом мы рекомендуем обратиться к компании-лицензиату, либо к производителю СЗИ, – отметил начальник отдела управления проектами ООО «КСБ-СОФТ» Михаил Шипицын. – Также стоит традиционно ожидать разъяснений со стороны ФСТЭК России в дополнительных письмах ближе к концу года. В настоящий момент большинство производителей СЗИ уже сертифицировали свои продукты по требованиям к уровню доверия. В отношении значительной части представленных СЗИ все необходимые процедуры выполнены и их актуальные версии подходят для дальнейшего использования».
