Информационное сообщение ФСТЭК России от 18.10.016 №240/24/4893 об утверждении требований безопасности информации к операционным системам.
В соответствии с подпунктом 13.1 пункта 8 Положения о ФСТЭК России, утвержденного Указом Президента Российской Федерации от 16.08.2004 №1085, приказом ФСТЭК России от 19.08.2016 №119 утверждены Требования безопасности информации к операционным системам, которые вступают в силу с 1 июня 2017 года.
Требования безопасности информации к операционным системам (далее –Требования) применяются к операционным системам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, и иной информации ограниченного доступа при ее обработке в информационных системах (автоматизированных системах управления).
Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление обязательной сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.
Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий.
В соответствии с Требованиями выделяются следующие типы операционных систем:
- операционная система общего назначения (тип «А») – операционная система, предназначенная для функционирования на средствах вычислительной техники общего назначения (автоматизированные рабочие места, серверы, смартфоны, планшеты, телефоны и иные);
- встраиваемая операционная система (тип «Б») – операционная система, встроенная (прошитая) в специализированные технические устройства, предназначенные для решения заранее определенного набора задач;
- операционная система реального времени (тип «В») – операционная система, предназначенная для обеспечения реагирования на события в рамках заданных временных ограничений при заданном уровне функциональности.
Для дифференциации требований к функциям безопасности операционных систем выделяются шесть классов защиты операционных систем. Самый низкий класс – шестой, самый высокий – первый.
Операционные системы, соответствующие 6 классу защиты, применяются в государственных информационных системах 3 и 4 классов защищенности* в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности** в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровней защищенности персональных данных***.
Операционные системы, соответствующие 5 классу защиты, применяются в государственных информационных системах 2 класса защищенности*, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных***.
Операционные системы, соответствующие 4 классу защиты, применяются в государственных информационных системах 1 класса защищенности*, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных***, в информационных системах общего пользования II класса****.
Операционные системы, соответствующие 1, 2 и 3 классам защиты, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
Таким образом, с 1 июня 2017 года разрабатываемые и производимые операционные системы, используемые для защиты информации, должны соответствовать Требованиям.
С 1 июня 2017 года сертификация, а также инспекционный контроль серийного производства операционных систем будут осуществляться только на соответствие Требованиям. В связи с этим с 1 января 2017 года ФСТЭК России не принимаются к рассмотрению заявки на сертификацию операционных систем на соответствие иным требованиям.
Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций Требованиями производится в соответствии с Порядком обеспечения органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России, размещенном на официальном сайте ФСТЭК России (www.fstec.ru) в подразделе «Обеспечение документами» раздела «Документы».
Примечания:
* Устанавливается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11.02.2013 №17.
** Устанавливается в соответствии с Требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденными приказом ФСТЭК России от 14.03.2014 №31.
*** Устанавливается в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 №1119.
**** Устанавливается в соответствии с Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ России и ФСТЭК России от 31.08.2010 №416/489.