Информационное сообщение ФСТЭК России №240-24-39 от 10.01.2025 «О повышении безопасности СрЗИ, в состав которых разработчики включают интерпретаторы (компоненты среды функционирования интерпретируемых языков или языков, компилируемых в промежуточное представление), веб-сервера и сервера приложений или задействуют для реализации функциональных возможностей средств данные программные компоненты из состава среды функционирования»

Информационное сообщение Федеральной службы по техническому и экспортному контролю от 10.01.2025 № 240/24/39 «О повышении безопасности средств защиты информации, в состав которых разработчики включают интерпретаторы (компоненты среды функционирования интерпретируемых языков или языков, компилируемых в промежуточное представление), веб-сервера и сервера приложений или задействуют для реализации функциональных возможностей средств данные программные компоненты из состава среды функционирования»

Ссылки

• Сайт ФСТЭК России
• Официальный текст на сайте в формате PDF
• Сохранённый текст в формате PDF

Обзоры документа

Аналитический центр УЦСБ

На официальном сайте ФСТЭК России опубликовано Информационное сообщение от 10.01.2025 № 240/24/39 «О повышении безопасности СрЗИ, в состав которых разработчики включают интерпретаторы (компоненты среды функционирования интерпретируемых языков или языков, компилируемых в промежуточное представление), веб-сервера и сервера приложений (далее – программные компоненты) или задействуют для реализации функциональных возможностей средств данные программные компоненты из состава среды функционирования».

В целях повышения безопасности СрЗИ, использующих указанные программные компоненты, при разработке и сертификации необходимо:

• в случае использования в СрЗИ для реализации функций безопасности или в составе поверхности атаки СрЗИ программных компонентов из состава среды функционирования СрЗИ сертифицировать их по требованиям безопасности информации (могут быть сертифицированы самостоятельно, в составе среды функционирования СрЗИ или в составе СрЗИ);
• в случае включения в состав ОС несертифицированных программных компонентов, ко всем функциям по безопасности, содержащихся в программных компонентах, предъявить требования по безопасности информации и включить их в технические условия на ОС, выполнение которых проверяется при проведении сертификационных испытаний;
• в случае включения в состав иных СрЗИ несертифицированных программных компонентов, сертифицировать их в составе СрЗИ в части задействования данных компонентов при реализации функций безопасности СрЗИ или в поверхности атаки СрЗИ;
• наделять программные компоненты минимально необходимыми для функционирования СрЗИ полномочиями;
• обеспечить выполнение программными компонентами кода либо входящего в состав СрЗИ, либо допущенного к выполнению посредством документированных функциональных возможностей СрЗИ (если программными компонентами предусмотрена возможность по выполнению кода);
• включить в эксплуатационную документацию сведения о всех функциональных возможностях, в том числе функциях безопасности, параметрах их безопасной конфигурации, настройки и эксплуатации, а также рекомендации по контролю безопасной конфигурации и настройки средств.

Текст документа

Быстрый просмотр сохранённой копии