СБ ЗОКИИ: как определить функции и закрываемые ими меры безопасности сертифицированных СрЗИ, чтобы корректно сформировать техническую документацию для подсистемы безопасности значимых объектов КИИ?

2025 год

Ответ: для того, чтобы определить меры безопасности, реализация которых подтверждается путем сертификации средства защиты информации (далее – СрЗИ), необходимо ориентироваться на следующие документы:

• специальные требования по безопасности отдельных СрЗИ, установленные ФСТЭК России (профили защиты СрЗИ);
• технические условия или задания по безопасности для СрЗИ;
• формуляры для СрЗИ.

Требования по безопасности, установленные ФСТЭК России, можно найти на официальном сайте федерального органа исполнительной власти. Формуляры для СрЗИ предоставляются при приобретении СрЗИ, однако зачастую формуляры не содержат информацию о реализуемых в рамках сертификации функциях и мерах защиты. В таком случае необходимо запрашивать технические условия или задания по безопасности, по которым проводилась сертификация СрЗИ, у интегратора, осуществляющего внедрение СрЗИ, или вендора (поставщика) СрЗИ.
Стоит отметить, что СрЗИ может реализовывать больше мер безопасности, чем заявлено при сертификации. В таких случаях для «дополнительных» мер безопасности СрЗИ необходимо проводить оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации (согласно требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденным приказом ФСТЭК России от 25.12.2017 № 239).
При этом, стоит обратить внимание, что сертификат соответствия на СрЗИ распространяется при соблюдения системных требований и условий эксплуатации, определенных формуляром и эксплуатационной документацией на СрЗИ.