ФСТЭК

Введение

ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – федеральный орган исполнительной власти, осуществляющий государственную политику в области технической защиты информации, не составляющей государственной тайны, а также контроль и надзор в этой сфере. ФСТЭК подчиняется непосредственно Президенту Российской Федерации.

В сфере информационной безопасности ФСТЭК выполняет функции регулятора, лицензирующего органа и органа по сертификации средств защиты информации (СЗИ). Криптографическую защиту (СКЗИ) регулирует отдельно ФСБ.

История и контекст

Предшественниками ФСТЭК были Гостехкомиссия СССР (с 1973 года) и Государственная техническая комиссия при Президенте РФ. В 2004 году преобразована в ФСТЭК России с расширенными полномочиями. С принятием 187-ФЗ (2017) ФСТЭК получила дополнительные полномочия по надзору за безопасностью объектов КИИ: именно ФСТЭК устанавливает требования по технической защите значимых объектов КИИ (Приказ ФСТЭК №239 от 2017 г.).

Ключевые функции ФСТЭК

• Лицензирование – выдача лицензий на деятельность по технической защите конфиденциальной информации (ТЗКИ) и разработке/производству СЗИ.
• Сертификация СЗИ – проверка соответствия межсетевых экранов, антивирусов, IDS/IPS, DLP, SIEM и прочих СЗИ требованиям безопасности. Сертифицированные СЗИ включаются в Государственный реестр.
• Нормотворчество – разработка руководящих документов и приказов: Приказ №17 (ГИС), №21 (ИСПДн), №31 (АСУ ТП), №239 (КИИ).
• Надзор за КИИ – совместно с ФСБ контролирует выполнение требований 187-ФЗ субъектами КИИ.
• Экспортный контроль – контроль за экспортом продукции и технологий двойного назначения.

Где применяются требования ФСТЭК

• Государственные информационные системы (ГИС) – Приказ №17 устанавливает классы защищённости и меры защиты.
• ИСПДн (персональные данные) – Приказ №21 определяет меры защиты для операторов ПД по 152-ФЗ.
• Значимые объекты КИИ – Приказ №239 задаёт требования для объектов 1–3 категорий по 187-ФЗ.
• АСУ ТП – Приказ №31 регулирует защиту автоматизированных систем управления технологическими процессами.

Преимущества регуляторной системы и её ограничения

Система сертификации ФСТЭК обеспечивает независимую проверку безопасности СЗИ перед применением в государственных системах. Ограничения: длительные сроки сертификации (месяцы); сертифицированные версии ПО отстают от актуальных на версию-две; высокие затраты для вендоров сдерживают конкуренцию.

Связь с другими понятиями

ФСТЭК и ФСБ – два ключевых регулятора ИБ в России с разграничением полномочий: ФСТЭК – техническая защита (не-СКЗИ), ФСБ – криптография. Объекты КИИ регулируются обоими ведомствами. Соответствие требованиям ФСТЭК часто подтверждается через аттестацию информационных систем.