You are here: Home> інформаційна безпека> ФСТЕК дозволяє використовувати міжмережеві екрани зі старими сертифікатами
Сьогодні в рамках ТБ Форуму пройшла Конференція ФСТЕК «Актуальні питання захисту інформації«, де представники регулятора висвітлювали дійсно актуальні питання. У Твіттері за тегом # ТБФорум можна знайти чимало прозвучали тез і фотографії слайдів з презентацій, я ж хотів би зупинитися на одному з питань, що виникли ще в кінці минулого року.
Інформаційне повідомлення ФСТЕК з питань розробки, виробництва, постачання, застосування і експлуатації міжмережевих екранів
Проте, основні моменти на ТБ Форумі вже розповіли. Суть позиції ФСТЕК приблизно така: Вимоги до міжмережевих екранів дозволяють віднести міжмережевий екран до того чи іншого класу, а ось вимоги до захисту інформації, що міститься в інформаційній системі, це зовсім інше. Визначаються ці вимоги іншими документами. Наприклад, тими ж наказами ФСТЕК №17, №21 та №31.
Таким чином, поки немає змін в цих документах (а для 17-го наказу якраз зараз зміни готуються) можна використовувати міжмережеві екрани, сертифіковані за старими вимогам. Віталій Лютіков явно сказав, що в іншому випадку всі діючі сертифікати вони б просто анулювали.
Отже, якщо ви сьогодні:
- розробляєте / сертіфіціруете міжмережевий екран - робіть це відповідно до нових вимог;
- виробляєте / ставите міжмережевий екран - можете використовувати старий МЕ (сертифікований за старими вимогам), якщо у нього є діючий сертифікат;
- пріменятеся міжмережевий екран для захисту інформації - можете застосовувати старий МЕ, якщо документи. в рамках яких здійснюється захист інформації, це дозволяють (зараз, до змін, це дозволяють всі документи);
- експлуатуєте старий міжмережевий екран - можете продовжувати це робити, поки діє його сертифікат;
- аттестуете інформаційну систему, в якій застосовуються старі міжмережеві екрани - теж можна. якщо відповідні документи дозволяють (знову-таки, зараз поки дозволяють);
- хочете продовжити сертифікат на експлуатований старий міжмережевий екран - в приватному порядку можете це зробити, але тільки якщо для нього відсутні уразливості. актуальні для тієї інформаційної системи, в якій він застосовується.