СБ ЗОКИИ: могут ли субъекты КИИ использовать межсетевые экраны Check Point для защиты своей инфраструктуры и ЗОКИИ?

2025 год

Ответ: да, могут, если межсетевой экран (далее – МЭ) Check Point используется для обеспечения сетевой безопасности общей инфраструктуры информационных технологий (далее – ИТ-инфраструктура) организации, но не используется для обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ). Например, допускается использование МЭ Check Point для защиты корпоративной системы передачи данных, в контурах которой эксплуатируются объекты КИИ без установленной категории значимости.
В соответствии с пунктом 6 Указа Президента Российской Федерации (далее – РФ) от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», субъектам КИИ запрещено использовать средства защиты информации (далее – СрЗИ), странами происхождения которых являются недружественные иностранные государства. Израиль не включен в перечень недружественных стран и является страной-производителем технических решений Check Point. Соответственно, субъекты КИИ могут использовать МЭ Check Point для обеспечения информационной безопасности ИТ-инфраструктуры. Однако необходимо учитывать требования, предъявляемые к СрЗИ и к программно-аппаратным комплексам (далее – ПАК) в составе значимых объектов КИИ.
Так, согласно определению ПАК, утвержденному постановлением Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры…» (далее – ПП-1912), МЭ является ПАК, и, соответственно, необходимо учитывать требования о применении доверенных ПАК в составе значимых объектов КИИ. МЭ Check Point не соответствует критериям доверенного ПАК, установленным ПП-1912, в частности МЭ ПАК Check Point не включен в реестр российской радиоэлектронной продукции.
В том числе, статьями 57.5-1 и 76.4-3 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» установлены требования для кредитных и некредитных организаций об осуществлении перехода на использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе ПАК, на принадлежащих им значимых объектах КИИ. Таким образом, субъектам КИИ, функционирующим в банковской сфере или иных сферах финансового рынка, запрещено использовать МЭ ПАК Check Point на значимых объектах КИИ.
В случае использования МЭ как СрЗИ значимого объекта КИИ, с указанием реализуемых функций защиты в рамках технического проекта подсистемы безопасности, необходимо учитывать Требования по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239. В частности, необходимо учитывать требование к уровням доверия применяемых СрЗИ: СрЗИ должны соответствовать 6 или более высокому уровню доверия. Согласно Требованиям по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденным приказом ФСТЭК России от 02.06.2020 № 76, для получения оценки соответствия 5 уровню доверия и выше сведения об аппаратной платформе (процессорах, микроконтроллерах, элементах памяти, сетевых картах, графических адаптерах) СрЗИ должны быть включены в единый реестр российской радиоэлектронной продукции. Соответственно, МЭ ПАК Check Point также не может быть использован как СрЗИ объектов КИИ, в отношении которых присвоена 2 или 1 категория значимости.
Таким образом, запрещается использовать МЭ ПАК Check Point в составе значимых объектов КИИ, в том числе в качестве СрЗИ таких объектов, но допускается использовать МЭ для обеспечения сетевой безопасности иных информационных активов субъектов КИИ.