Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Приказ ФСТЭК России № 76 от 02.06.2020

Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (выписка)

5. Требования к поддержке безопасности средства

Для проведения оценки соответствия по документу войдите в систему.

Список требований

5. Требования к поддержке безопасности средства
21. Средство должно обеспечиваться поддержкой безопасности средства, предусматривающей:
устранение недостатков и дефектов средства, в том числе устранение уязвимостей и недекларированных возможностей средства (далее – устранение недостатков средства);
информирование потребителей об обновлении программного обеспечения средства и доведение до потребителей обновлений программного обеспечения средства, а также изменений в эксплуатационную документацию (далее –обновление средства);
документирование процедур устранения недостатков и обновления средства;
информирование об окончании производства и (или) поддержки безопасности средства.
Поддержка безопасности средства обеспечивается заявителем на осуществление сертификации средства с привлечением разработчика и изготовителя средства.
22. К устранению недостатков средства предъявляются следующие требования:
22.1. Устранение недостатков средства, соответствующего 6 уровню доверия, должно предусматривать:
поиск в доступных источниках информации о недостатках средства, в том числе о недостатках в компонентах средства, заимствованных у сторонних изготовителей;
получение сведений о недостатках средства от потребителей средства;
проведение испытаний средства по выявлению недостатков в средстве, в том числе по выявлению уязвимостей и недекларированных возможностей средства;
разработку компенсирующих мер по защите информации или ограничений по применению средства, снижающих возможность эксплуатации недостатков (уязвимостей);
доведение информации о недостатках средства, а также о компенсирующих мерах по защите информации или ограничений по применению средства до потребителей средства, ФСТЭК России и банка данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2018, N 20, ст. 2818);
устранение недостатков средства путем доработки средства или его отдельных компонентов, принятие иных мер, снижающих возможность эксплуатации уязвимостей;
тестирование (испытания) доработанного средства или его отдельных компонентов на предмет устранения влияния обновлений средства на его функции безопасности, подтверждения устранения уязвимостей, невнесения новых уязвимостей в средство.
22.2. Устранение недостатков средства, соответствующего 5 уровню доверия, наряду с требованиями, установленными пунктом 22.1 настоящих Требований, должно предусматривать:
- разработку компенсирующих мер по защите информации или ограничений по применению средства, а также доведение информации о недостатках и указанных мерах и ограничениях до потребителей не позднее 72 часов с момента выявления недостатка;
- доработку средства, в том числе разработку обновлений программного обеспечения средства, или разработку мер по защите информации, нейтрализующих недостаток, в срок не более 60 дней с момента выявления недостатка.
22.3. Устранение недостатков средства, соответствующего 4 уровню доверия, наряду с требованиями, установленными пунктами 22.1 и 22.2 настоящих Требований, должно предусматривать:
- разработку компенсирующих мер по защите информации или ограничений по применению средства, а также доведение информации о таких мерах и ограничениях до потребителей в срок не более 48 часов с момента выявления недостатка;
- доведение информации о недостатках средства, а также о компенсирующих мерах по защите информации или ограничениях по применению до каждого потребителя сертифицированного средства путем отправки сообщений на электронные адреса потребителей или за счет применения компонента средства, обеспечивающего доведение указанной информации до потребителя автоматически.
23. К обновлению средства предъявляются следующие требования:
23.1. Обновление средства, соответствующего 6 уровню доверия, должно предусматривать:
информирование потребителей средства о выпуске обновлений;
обеспечение возможности получения обновления средства способами, обеспечивающими его целостность.
23.2. Наряду с требованиями, установленными пунктом 23.1 настоящих Требований, к обновлению средства, соответствующего 5 уровню доверия, предъявляются следующие требования:
- в случае получения обновления средства по сетям связи средство должно получать такие обновления с информационного ресурса заявителя;
- при доведении обновлений средства до потребителей должны обеспечиваться подлинность и целостность обновлений за счет применения электронной цифровой подписи.
23.3. Наряду с требованиями, установленными пунктами 23.1 и 23.2 настоящих Требований, доведение информации о выпуске обновлений средства, соответствующего 4 уровню доверия, должно осуществляться до каждого потребителя сертифицированного средства путем отправки сообщений на электронные адреса потребителей или за счет применения компонента средства, обеспечивающего доведение указанной информации до потребителя автоматически.
24. К документированию процедур устранения недостатков и обновления средства предъявляются следующие требования:
24.1. Документирование процедур устранения недостатков и обновления средства, соответствующего 6 уровню доверия, должно предусматривать:
включение в программную и конструкторскую документацию на средство процедур устранения недостатков;
разработку регламента обновления средства потребителем, включающего порядок получения, установки и контроля установки обновления программного обеспечения средства.
24.2. Требования к документированию процедур устранения недостатков и обновления средства, соответствующего 5 и 4 уровням доверия, соответствуют требованиям к документированию процедур устранения недостатков и обновления средства, соответствующего 6 уровню доверия.
25. К информированию об окончании производства и (или) поддержки безопасности средства предъявляются следующие требования:
25.1. Об окончании производства и (или) поддержки безопасности средства, соответствующего 6 уровню доверия, потребители и ФСТЭК России должны быть проинформированы не позднее чем за 1 год до окончания производства и (или) поддержки безопасности средства.
25.2. Требования к информированию об окончании производства и (или) поддержки безопасности средства, соответствующего 5 и 4 уровням доверия, соответствуют требованиям к информированию об окончании производства и (или) поддержки безопасности средства, соответствующего 6 уровню доверия.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.