Федеральная служба по техническому и экспортному контролю утвердила Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети и Требования по безопасности информации к системам управления базами данных.
Требования к NGFW предназначены для организаций, осуществляющих разработку и (или) производство многофункциональных межсетевых экранов уровня сети, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации.
Документ включает минимально необходимые требования по безопасности информации, предъявляемые к уровню доверия NGFW, управлению доступом, идентификации и аутентификации пользователей, фильтрации сетевого трафика, обнаружению и блокированию компьютерных атак, обнаружению и блокированию вредоносного ПО, доверенной загрузке, тестированию и контролю целостности, аппаратной платформе и режимам работы, а также регистрации событий безопасности и обеспечению бесперебойного функционирования и восстановления NGFW, взаимодействию с иными средствами защиты информации, а также к централизованному и удалённому управлению программно-аппаратным комплексом.
Документ также регламентирует соотношение класса защиты многофункциональных межсетевых экранов уровня сети и категорий/классов значимости объектов КИИ, ГИС, АСУ ТП и прочего.
С 14 июня сертификация многофункциональных межсетевых экранов уровня сети осуществляется на соответствие указанным Требованиям. В соответствии с приказом ФСТЭК России от 7 марта 2023 г. № 44 п. 15 Требований вступает в силу с 1 января 2025 года.
Второй документ предназначен для организаций, осуществляющих разработку систем управления базами данных, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации.
Документ по СУБД включает минимально необходимые требования по безопасности информации, предъявляемые к уровню доверия СУБД, операционной системе, в среде которой функционирует система, управлению доступом, идентификации и аутентификации пользователей, контролю целостности, регистрации событий безопасности, резервному копированию и восстановлению, обеспечению доступности СУБД, очистке памяти, производительности системы и ограничению программной среды в системе управления базами данных.
Документ регламентирует соотношение класса защиты СУБД и категорий/классов значимости объектов КИИ, ГИС, АСУ ТП и прочего.
С 15 июня сертификация систем управления базами данных осуществляется на соответствие указанным требованиям.