В связи с тем, что с 1 декабря 2016 года начали действовать новые требования к сертификации, использованию и продажам межсетевых экранов, стали возникать вопросы, что делать с экранами, имеющими сертификаты старого образца. Особенно этот вопрос интересует тех, кто планирует получение лицензии ФСТЭК на деятельность по защите информации и готовится к аттестации. 27 марта 2017 года ФСТЭК обнародовала информационное сообщение, проясняющее эти вопросы.
В сообщении говорится, что:
- новые межсетевые экраны будут получать сертификаты исключительно нового образца;
- можно запускать в серийное производство и поставлять экраны со старыми сертификатами, если сертификат еще действителен;
- можно использовать экраны со старыми сертификатами, если сертификат ещё действителен, и если эти экраны были внедрены до того, как вступили в силу поправки к приказу № 17 (и планируемые поправки к приказам №№ 21 и 31), так как законы не имеют обратного действия;
- теперь нельзя пройти первичную аттестацию с межсетевым экраном, имеющим старый сертификат, полученный до введения в действие новых требований;
- можно пройти повторную аттестацию с экраном, имеющим старый сертификат, у которого не вышел срок действия.
Данное информационное сообщения также ссылается на Приказ ФСТЭК России от 15 февраля 2017 г. № 27, вносящий некоторые исправления в приказ №17, а именно:
- упразднён четвертый класс ГИС (теперь классов всего три);
- требования к четвёртому, пятому и шестому классам СЗИ теперь соотнесены с требованиями к трём классам ГИС, в которых они будут использоваться;
- уровень центра обработки данных (ЦОД) не может быть ниже класса обслуживаемых им систем;
- тестирование на проникновение и анализ уязвимостей входят в обязательный перечень аттестационных проверок;
- ни одно должностное лицо не может одновременно проектировать / внедрять и аттестовать систему;
- срок действия аттестата теперь составляет пять лет.
Есть вопросы по аттестации или получению лицензии ФСТЭК? Обращайтесь, поможем!