Об утверждении руководства по защите информации от несанкционированного доступа в вс рф

Важная информация

Информационное сообщение

В Министерстве обороны Российской Федерации во исполнение постановления Правительства Российской Федерации от 26 ноября 2021 г. № 2052 «Об утверждении Правил обращения со сведениями, составляющими служебную тайну в области обороны» издан приказ Министра обороны Российской Федерации от 17 января 2022 г. № 22 «Об утверждении Перечня сведений Вооруженных Сил Российской Федерации, подлежащих отнесению к служебной тайне в области обороны».

Данный приказ зарегистрирован в Министерстве юстиции Российской Федерации, опубликован на официальном интернет-портале правовой информации государственной системы правовой информации Министерства юстиции Российской Федерации (publication.pravo.gov.ru), размещен на официальном сайте Министерства обороны Российской Федерации (mil.ru) и вступил в действие с 12 марта 2022 г.

В переписке по вопросам сертификации средств защиты информации и лицензирования деятельности по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, необходимо строго руководствоваться требованиями положений вышеуказанных постановления Правительства Российской Федерации и приказа Министра обороны Российской Федерации (выписка из Перечня сведений Вооруженных Сил Российской Федерации, подлежащих отнесению к служебной тайне в области обороны (далее – Перечень) прилагается).

При этом сообщается, что граждане Российской Федерации за разглашение информации ограниченного доступа несут административную ответственность, установленную статьей 13.14 Кодекса Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ.

Выписка из Перечня в части вопросов сертификации средств защиты информации:

Сведения, составляющие служебную тайну в области обороны


п/п

Содержание

339

Сведения, содержащиеся в материалах сертификационных испытаний и раскрывающие состав, конфигурацию средств защиты информации, реализованные механизмы защиты информации от несанкционированного доступа в образцах ВВСТ, а также порядок их проверки.

340

Сведения, раскрывающие порядок проведения испытаний и оценки сертифицируемых образцов ВВСТ на соответствие требованиям безопасности информации.

343

Сведения, раскрывающие требования по защите информации, предъявляемые к создаваемым (модернизируемым) объектам информатизации или средствам защиты информации, а также содержание проводимых работ по созданию новых или модернизации существующих объектов информатизации, предназначенных для обработки служебной тайны в области обороны.

344

Сведения, раскрывающие перечни защищаемых ресурсов или параметры разграничения доступа к ним на объектах информатизации, а также состояние защищённости автоматизированных (информационных) систем, предназначенных для обработки информации, содержащей служебную тайну в области обороны.

345

Сведения, раскрывающие организацию или состояние защиты информации от несанкционированного доступа, иностранных технических разведок, утечки по техническим каналам, результаты выполнения, за исключением объектов информатизации, предназначенных для обработки сведений, составляющих государственную тайну.

346

Сведения, раскрывающие порядок настройки средств защиты информации и средств антивирусной защиты объектов информатизации, предназначенных для обработки информации, содержащей служебную тайну в области обороны.

348

Сведения, раскрывающие требования по безопасности информации, предъявляемые к образцам ВВСТ.

349

Сведения, раскрывающие организацию, обеспечение функционирования средств защиты информации от несанкционированного доступа на объектах информатизации, обрабатывавших информацию, содержащую служебную тайну в области обороны.

350

Сведения, раскрывающие организацию или состояние защиты информации, а также содержание мероприятий по обеспечению безопасности информации и результаты их выполнения на абонентских пунктах сети «Интернет».

352

Сведения, раскрывающие порядок устранения уязвимостей информационной безопасности и выпуска обновлений безопасности программного обеспечения автоматизированных (информационных) систем военного назначения.

353

Сведения, раскрывающие схему локальной вычислительной сети, предназначенной для обработки информации, содержащей служебную тайну в области обороны, и место размещения коммутационного оборудования воинской части.

Выписка из Перечня в части вопросов лицензирования деятельности по проведению работ, связанных с созданием средств защиты информации:

Сведения, составляющие служебную тайну в области обороны


п/п

Содержание

334

Совокупность сведений, раскрывающих содержание реестра организаций, имеющих лицензию Министерства обороны на проведение работ, связанных с созданием средств защиты информации, а также сертифицированных средств защиты информации Министерства обороны.

336

Сведения, раскрывающие результаты специальной экспертизы соискателя лицензии на вид деятельности в области защиты государственной тайны.

337

Сведения, раскрывающие содержание актов об устранении недостатков, выявленных при лицензировании деятельности воинских частей и организаций Вооруженных Сил в области защиты государственной тайны.

Выписка из Перечня в части вопросов лицензирования деятельности по проведению работ, связанных с использованием сведений, составляющих государственную тайну, и осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны:

Сведения, составляющие служебную тайну в области обороны


п/п

Содержание

333

Сведения, раскрывающие материалы по лицензированию и проведению специальной экспертизы воинских частей и организаций Вооруженных Сил на право проведения работ, связанных с осуществлением мероприятий и (или) оказанием услуг в области защиты государственной тайны, в части проведения специальных исследований технических средств, специальных проверок выделенных помещений, аттестации объектов информатизации по требованиям безопасности информации и контроля состояния технической защиты информации.

335

Сведения, раскрывающие содержание служебной переписки воинских частей и организаций Вооруженных Сил по проведению специальной экспертизы лицензиата (соискателя лицензии) на проведение работ, связанных с использованием сведений, составляющих государственную тайну, и с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, и государственной аттестации его руководителя.

336

Сведения, раскрывающие результаты специальной экспертизы соискателя лицензии на вид деятельности в области защиты государственной тайны.

337

Сведения, раскрывающие содержание актов об устранении недостатков, выявленных при лицензировании деятельности воинских частей и организаций Вооруженных Сил в области защиты государственной тайны.

338

Сведения, раскрывающие содержание служебной переписки воинских частей и организаций Вооруженных Сил по вопросу подтверждения степени секретности сведений, с которыми предприятия, учреждения и организации предполагают проводить работы, связанные с использованием сведений, составляющих государственную тайну.

Источник

Нормативные документы

 Закон Российской Федерации от 21.07.1993 № 5485-1 «О государственной тайне» 

Доктрина информационной безопасности Российской Федерации (утверждена Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895)

Указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» от 30.11.1995 № 1203.

Распоряжение Президента Российской Федерации «О перечне должностных лиц органов государственной власти и организаций, наделяемых полномочиями по отнесению сведений к государственной тайне» от 16.04.2005 № 151-рп.

Постановление Правительства Российской Федерации «О сертификации средств защиты информации» от 26.06.1995 № 608.

Положение о сертификации средств защиты информации по требованиям безопасности информации, утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27.10.1995 № 199.

Сборник руководящих документов по защите информации от НСД. (Гостехкомиссия России, 1998):

1) Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Решение Гостехкомиссии России от 30.03.1992

2) Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Решение Гостехкомиссии России от 30.03.1992

3) Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Решение Гостехкомиссии России от 30.03.1992

4) Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Решение Гостехкомиссии России от 30.03.1992

5) Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. Решение Гостехкомиссии России от 30.03.1992

6) Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России 1997г

7) Руководящий документ. Защита информации. Специальные защитные знаки. Классификация и общие требования. Гостехкомиссии России 1997 г.

Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Приказ Гостехкомиссии России от 19.06.2002 № 187

Руководящий документ. Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом председателя Гостехкомиссии России от 04.06.1999 № 114

Руководящий документ. Средства защиты информации. Специальные и общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам. Гостехкомиссия России, 2000 г.

ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения

Источник

Современные компании располагают значительными объемами информации. В сегодняшних реалиях она является основным ресурсом. Базы данных нуждаются в надежной охране от преступного использования, которое представляет собой серьезную угрозу для деятельности и существования компании. Поэтому так важно обеспечить защиту данных от несанкционированного доступа. Это комплекс мероприятий, направленных на контроль полномочий пользователей. В компании вводится ограничение использования сведений, которые не нужны сотрудникам для выполнения прямых обязанностей. Контролировать необходимо действия как с бумажными документами, так и со сведениями на электронных носителях информации. 

Для того чтобы создать надежную систему защиты информации нужно определить возможные способы получения данных.

Способы доступа посторонних к сведениям 

Несанкционированный доступ к информации (НСД) может быть получен разными способами. Прямое хищение документов или взлом операционных систем компьютеров составляют лишь малую часть возможных вариантов. Наиболее уязвимыми считаются электронные средства хранения информации, так как для них могут быть использованы удаленные методы управления и контроля. 

Возможные варианты получения незаконного доступа:

  • подключение к системам связи (телефонные линии, интеркомы, проводные переговорные устройства);
  • хищение документации, в том числе ее копирование (тиражирование) с враждебными целями;
  • непосредственное использование компьютеров, внешних накопителей или иных устройств, содержащих информацию;
  • внедрение в операционную систему через Интернет, в том числе с использованием шпионских программ, вирусов и прочего вредоносного программного обеспечения;
  • использование сотрудников компании (инсайдеров) в качестве источников сведений.

По данным Gartner, 60% людей готовы пойти на преступление под гнетом обстоятельств. Узнайте, на что способны ваши сотрудники с помощью «СёрчИнформ ProfileCenter» 

Подключение к действующему каналу связи позволяет получать сведения косвенным способом, без непосредственного доступа к базам данных. Наиболее защищенными от вторжения извне считаются оптоволоконные линии, но и к ним можно присоединиться после некоторых подготовительных операций. Целью злоумышленников в этом случае становятся рабочие переговоры сотрудников – например, при проведении следственных мероприятий или при совершении финансовых операций.  

Часто для получения нужных сведений злоумышленники используют сотрудников компаний. В ход идут разные способы убеждения и мотивации – от подкупа до более жестких методов (запугивание, шантаж). В группу риска входят сотрудники, у которых возник конфликт с коллегами или с администрацией компании. Эти работники могут иметь авторизованный доступ к информации, позволяющий им получать определенные сведения без ограничений. Аутентификация пользователей в данном случае не является эффективной мерой защиты, поскольку она способна отсечь только посторонних. 

Еще одна внутренняя угроза – кража носителей с ценными сведениями, например, программным кодом, который является разработкой компании. На это способны только доверенные лица, имеющие доступ к конфиденциальным данным в физическом или электронном виде. 

Параллельно с развитием средств защиты информации ведутся разработки новых методов НСД. Необходимо понимать, что изученные методы незаконного получения данных не считаются перспективными. Наибольшую опасность представляют новые и малоизученные способы доступа к ресурсам компании, против которых пока нет эффективных методик борьбы. Поэтому считать средства защиты от несанкционированного доступа излишней мерой не следует. Это не попытка перестраховаться, а следствие правильного понимания размеров угрозы.  

Для чего предпринимаются попытки доступа к чужой информации

Основная цель несанкционированного доступа к информации – получение дохода от использования чужих данных. 

Возможные способы использования полученных сведений:

  • перепродажа третьим лицам;
  • подделка или уничтожение (например, при получении доступа к базам должников, подследственных, разыскиваемых лиц и т. п.);
  • использование чужих технологий (промышленный шпионаж);
  • получение банковских реквизитов, финансовой документации для незаконных операций (например, обналичивания денег через чужой счет);
  • изменение данных с целью навредить имиджу компании (незаконная конкуренция).

Конфиденциальная информация представляет собой эквивалент денежных средств. При этом для самого владельца сведения могут ничего не значить. Однако ситуация постоянно меняется, и данные могут внезапно приобрести большое значение, и этот факт потребует их надежной защиты.

Вы знаете, сколько конфиденциальных документов хранится в файловой системе вашей компании? Проведите быстрый и точный аудит с помощью «СёрчИнформ FileAuditor». 

Методы защиты от несанкционированного доступа

Методы защиты компьютеров от несанкционированного доступа делятся на программно-аппаратные и технические. Первые отсекают неавторизованных пользователей, вторые предназначены для исключения физического проникновения посторонних людей в помещения компании.

Создавая систему защиты информации (СЗИ) в организации, следует учитывать, насколько велика ценность внутренних данных в глазах злоумышленников. 

Для грамотной защиты от несанкционированного доступа важно сделать следующее:

  • отсортировать и разбить информацию на классы, определить уровни допуска к данным для пользователей;
  • оценить возможности передачи информации между пользователями (установить связь сотрудников друг с другом).

В результате этих мероприятий появляется определенная иерархия информации в компании. Это дает возможность разграничения доступа к сведениям для сотрудников в зависимости от рода их деятельности.

Аудит доступа к данным должен входить в функционал средств информационной безопасности. Помимо этого, программы, которые компания решила использовать, должны включать следующие опции:

  • аутентификация и идентификация при входе в систему;
  • контроль допуска к информации для пользователей разных уровней;
  • обнаружение и регистрация попыток НСД;
  • контроль работоспособности используемых систем защиты информации;
  • обеспечение безопасности во время профилактических или ремонтных работ.

Идентификация и аутентификация пользователей

Для выполнения этих процедур необходимы технические средства, с помощью которых производится двухступенчатое определение личности и подлинности полномочий пользователя. Необходимо учитывать, что в ходе идентификации необязательно устанавливается личность. Возможно принятие любого другого идентификатора, установленного службой безопасности. 

После этого следует аутентификация – пользователь вводит пароль или подтверждает доступ к системе с помощью биометрических показателей (сетчатка глаза, отпечаток пальца, форма кисти и т. п.). Кроме этого, используют аутентификацию с помощью USB-токенов или смарт-карт. Этот вариант слабее, так как нет полной гарантии сохранности или подлинности таких элементов.

Протоколы секретности для бумажной документации

Несмотря на повсеместную цифровизацию, традиционные бумажные документы по-прежнему используются в организациях. Они содержат массу информации – бухгалтерские сведения, маркетинговую информацию, финансовые показатели и прочие критические данные. Заполучив эти документы, злоумышленник может проанализировать масштабы деятельности организации, узнать о направлениях финансовых потоков. 

Для защиты документации, содержащей сведения критической важности, используются специальные протоколы секретности. Хранение, перемещение и копирование таких файлов производится по специальным правилам, исключающим возможность контакта с посторонними лицами.

Защита данных на ПК

Для защиты информации, хранящейся на жестких дисках компьютеров, используются многоступенчатые средства шифрования и авторизации. При загрузке операционной системы используется сложный пароль, который невозможно подобрать обычными методами. Возможность входа в систему пользователя со стороны исключается путем шифрования данных в BIOS и использования паролей для входа в разделы диска. 

Для особо важных устройств следует использовать модуль доверенной загрузки. Это аппаратный контроллер, который устанавливается на материнскую плату компьютера. Он работает только с доверенными пользователями и блокирует устройство при попытках включения в отсутствие владельца. 

Также применяются криптографические методы шифрования данных, превращающие текст «вне системы» в ничего не значащий набор символов. 

Эти мероприятия обеспечивают защиту сведений и позволяют сохранить их в неприкосновенности.

Определение уровней защиты

С методической точки зрения процесс защиты информации можно разделить на четыре этапа:

  • предотвращение – профилактические меры, ограничение доступа посторонних лиц;
  • обнаружение – комплекс действий, предпринимаемых для выявления злоупотреблений;
  • ограничение – механизм снижения потерь, если предыдущие меры злоумышленникам удалось обойти;
  • восстановление – реконструкция информационных массивов, которая производится по одобренной и проверенной методике.

Каждый этап требует использования собственных средств защиты информации, проведения специальных мероприятий. Необходимо учитывать, что приведенное разделение условно. Одни и те же действия могут быть отнесены к разным уровням.

Не хватает ресурсов, чтобы заняться информационной безопаностью всерьез? Пригласите специалиста по ИБ-аутсорсингу! Узнать, как это работает. 

Предотвращение сетевых атак

Компьютеры, подключенные к Интернету, постоянно подвергаются риску заражения вредоносным программным обеспечением. Существует масса ПО, предназначенного для отслеживания паролей, номеров банковских карт и прочих данных. Нередко вирусы содержатся в рассылках электронной почты, попадают в систему через сомнительные сетевые ресурсы или скачанные программы. 

Для защиты системы от вредоносных программ, необходимо использовать антивирусные приложения, ограничить доступ в Сеть на определенные сайты. Если в организации параллельно используются локальные сети, следует устанавливать файрволы (межсетевые экраны).

Большинство пользователей хранит информацию в отдельных папках, которые названы «Пароли», «Мои карты» и т. п. Для злоумышленника такие названия являются подсказками. В названиях таких файлов необходимо использовать комбинации букв и цифр, ничего не говорящие посторонним людям. Также рекомендуется шифровать ценные данные в компьютерах и периодически производить их резервное копирование.

Какие результаты должны быть достигнуты

Грамотное использование систем защиты информации позволяет добиться благоприятных результатов:

  • уменьшить риски утраты репутации и потери денежных средств;
  • исключить потери научных разработок, интеллектуальной собственности, личных данных;
  • снизить затраты на мероприятия по защите информации, исключению постороннего доступа к ценным сведениям.

Также служба ИБ должна настроить политики безопасности для всех подразделений и сотрудников, работающих с конфиденциальной информацией разного типа:

  • финансовая документация;
  • клиентские базы данных;
  • научные и технологические разработки, другая интеллектуальная собственность;
  • сведения, составляющие банковскую тайну;
  • персональная информация сотрудников или иных лиц.

Каждый сотрудник должен иметь возможность работать только с информацией, необходимой ему для выполнения трудовых обязанностей. Это исключает недобросовестное использование сведений, утечку или копирование данных с враждебными целями.

Несанкционированный доступ к информации возможен в любой системе – от небольших организаций до крупных государственных структур. Внимательное отношение к защите сведений, создание подразделений информационной безопасности позволяют минимизировать потери и предотвратить попытки хищения или копирования данных. Отдельное внимание следует уделять работе с авторизованными сотрудниками, имеющими доступ к критической информации. Меры защиты должны быть приняты заблаговременно, поскольку уступить инициативу – значит допустить потерю данных. 

23.09.2019

Источник

Данный архив содержит шаблоны документов по защите информации в целом и по защите персональных данных в частности.

1. Раздел «Общее» — документы, утверждение которых, как правило необходимо для любой системы, независимо от ее классификации:
  • Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информации
  • Инструкция администратора безопасности
  • Инструкция ответственного за организацию обработки персональных данных
  • Приказ о назначении группы реагирования на инциденты информационной безопасности и о правилах регистрации инцидентов информационной безопасности и реагирования на них
  • Инструкция по реагированию на инциденты информационной безопасности
  • Инструкция пользователя государственной информационной системы
  • Приказ об утверждении внутренних нормативных актов по защите информации
  • Политика информационной безопасности в составе:
  • — Общие положения
  • — Технологические процессы обработки защищаемой информации в информационных системах
  • — Правила и процедуры идентификации и аутентификации пользователей, политика разграничения доступа к ресурсам информационной системы
  • — Правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения
  • — Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники
  • — Правила и процедуры выявления, анализа и устранения уязвимостей
  • — Правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации
  • — Правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций
  • — Форма заявки на внесение изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам информационной системы
  • — Форма задания на внесение изменений в списки пользователей информационной системы
  • — Форма положения о разграничении прав доступа (ролевая система допуска к ресурсам)
  • — Форма перечня лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы
  • — Форма перечня помещений, в которых разрешена работа с ресурсами информационной системы, в которых размещены технические средства, а также перечень лиц, допущенных в эти помещения
  • — Форма списка разрешающих правил взаимодействия с внешними телекоммуникационными сетями
  • — Форма списка разрешенного программного обеспечения в информационной системе
  • — Форма списка прикладного программного обеспечения информационной системы, доступного внешним пользователям
  • — Форма списка пользователей, которым в соответствии с должностными обязанностями предоставлен удаленный доступ к информационной системе
  • — Порядок резервирования информационных ресурсов
  • — План обеспечения непрерывности функционирования информационной системы
  • Приказ об организации контролируемой зоны
  • Положение о контролируемой зоне
  • План мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационной системе
  • Форма журнала учета машинных носителей информации, стационарно устанавливаемых в корпус средств вычислительной техники
  • Форма журнала учета портативных вычислительных устройств, имеющих встроенные носители информации
  • Форма журнала учета приема/выдачи съемных машинных носителей информации
  • Форма журнала учета средств защиты информации
  • Форма журнала учета периодического тестирования средств защиты информации
  • Форма журнала проведения инструктажей по информационной безопасности
  • Форма журнала учета мероприятий по контролю обеспечения защиты информации
2. Раздел «Только ГИС» — небольшая подборка документов, которые необходимы для государственных или муниципальных информационных систем:
  • Приказ о необходимости защиты информации, содержащейся в государственной информационной системе
  • Приказ о необходимости защиты информации, содержащейся в муниципальной информационной системе
  • Приказ о классификации государственной информационной системы
  • Форма акта классификации государственной информационной системы
  • Приказ о вводе в эксплуатация государственной информационной системы
3. Раздел «ПДн» — документы по защите персональных данных, регламентированные 152-ФЗ и подзаконными актами:
  • Положение о защите и обработке персональных данных в составе:
  • — Общие положения
  • — Основные понятия и состав персональных данных
  • — Общие принципы обработки персональных данных
  • — Порядок сбора и хранения персональных данных
  • — Процедура получения персональных данных
  • — Передача персональных данных третьим лицам
  • — Трансграничная передача персональных данных
  • — Порядок уничтожения и блокирования персональных данных
  • — Защита персональных данных
  • — Согласие на обработку персональных данных
  • — Организация доступа работников к персональным данным субъектов
  • — Организация доступа субъекту персональных данных к его персональным данным
  • — Права и обязанности оператора персональных данных
  • — Права и обязанности работников, допущенных к обработке персональных данных
  • — Права субъекта персональных данных
  • — Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
  • Правила рассмотрения запросов субъектов персональных данных или их представителей
  • Приказ об утверждении перечня лиц, допущенных к обработке персональных данных
  • Форма перечня лиц, допущенных к обработке персональных данных
  • Политика в отношении обработки персональных данных
  • Приказ об определении уровня защищенности персональных данных
  • Форма акта определения уровня защищенности персональных данных
  • Правила обработки персональных данных без использования средств автоматизации
  • Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные
  • Форма акта уничтожения персональных данных
  • Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении
  • Форма согласия субъекта на обработку его персональных данных
  • Положение о системе видеонаблюдения
  • Форма соглашения о неразглашении персональных данных
  • Форма журнала учета обращений граждан-субъектов персональных данных о выполнении их законных прав
4. Раздел «СКЗИ» — документы, необходимые при использовании в системе защиты информации криптографических средств
  • Приказ о порядке хранения и эксплуатации средств криптографической защиты информации
  • Форма перечень сотрудников, допущенных к работе с СКЗИ
  • Инструкция по обеспечению безопасности эксплуатации СКЗИ
  • Форма акта об уничтожении криптографических ключей и ключевых документов
  • Схема организации криптографической защиты информации
5. Модель угроз безопасности информации

Источник

ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ
от 24 октября 2022 г. N 524

ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ
О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ
ИНФОРМАЦИОННЫХ СИСТЕМАХ, С ИСПОЛЬЗОВАНИЕМ ШИФРОВАЛЬНЫХ
(КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ

В соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» <1>, пунктом «ш» части 1 статьи 13 Федерального закона от 3 апреля 1995 г. N 40-ФЗ «О федеральной службе безопасности» <2> и пунктом 1 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960 <3>, приказываю:

———————————

<1> Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2014, N 30, ст. 4243.

<2> Собрание законодательства Российской Федерации, 1995, N 15, ст. 1269; 2003, N 27, ст. 2700.

<3> Собрание законодательства Российской Федерации, 2003, N 33, ст. 3254; 2007, N 1, ст. 205.

1. Утвердить прилагаемые Требования о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств.

2. Установить, что настоящий приказ не распространяется на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации, а также на государственные информационные системы, содержащие сведения, составляющие государственную тайну.

3. Настоящий приказ вступает в силу по истечении одного года со дня его официального опубликования.

Директор
А.БОРТНИКОВ

1. Информация, содержащаяся в государственных информационных системах (далее — ГИС), подлежит защите с использованием шифровальных (криптографических) средств защиты информации (далее — СКЗИ) в случаях, если:

законодательными и иными нормативными правовыми актами Российской Федерации предусмотрена обязанность по защите информации, содержащейся в ГИС, с использованием СКЗИ;

в ГИС осуществляется передача информации по каналам связи, проходящим за периметром охраняемой территории предприятия (учреждения), ограждающих конструкций охраняемого здания, охраняемой части здания, выделенного помещения (далее — контролируемая зона);

необходимо обеспечить юридическую значимость электронных документов и защиту их от подделки;

в ГИС осуществляется хранение данных на носителях информации, предназначенных для записи, хранения и воспроизведения информации, обрабатываемой с использованием средств вычислительной техники, несанкционированный доступ к которым со стороны третьих лиц не может быть исключен с помощью некриптографических методов и способов.

2. Необходимость использования СКЗИ для защиты информации, содержащейся в ГИС, подлежит обоснованию в модели угроз безопасности информации, техническом проекте и техническом задании на создание (развитие) ГИС. Модель угроз безопасности информации и (или) техническое задание на создание (развитие) ГИС подлежат согласованию с ФСБ России в части криптографической защиты информации <1>.

———————————

<1> Абзац второй пункта 3 требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676 (Собрание законодательства Российской Федерации, 2015, N 28, ст. 4241; 2021, N 23, ст. 4079).

3. Для обеспечения защиты информации, содержащейся в ГИС, должны использоваться только СКЗИ, сертифицированные ФСБ России.

4. Для противодействия угрозам, представляющим собой целенаправленные действия с использованием аппаратных, программно-аппаратных и (или) программных средств, направленные на нарушение безопасности защищаемой СКЗИ информации либо на создание условий для этого (далее — атаки), должны использоваться СКЗИ соответствующего класса, определенного в соответствии с главой II настоящих Требований.

Класс СКЗИ, определенный в соответствии с главой II настоящих Требований, подлежит обоснованию в модели угроз безопасности информации.

5. В случае если это предусмотрено документацией на СКЗИ в отношении аппаратных, программно-аппаратных и программных средств, с которыми в ГИС предполагается штатное функционирование СКЗИ (далее — технические средства), должна быть проведена оценка их влияния на выполнение предъявляемых к СКЗИ требований (далее — оценка влияния среды функционирования).

Оценка влияния среды функционирования проводится организацией, уполномоченной на осуществление криптографических, инженерно-криптографических и специальных исследований СКЗИ (тематических исследований СКЗИ) в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 г. N 66 <1>.

———————————

<1> Зарегистрирован Минюстом России 3 марта 2005 г., регистрационный N 6382 (с изменениями, внесенными приказом ФСБ России от 12 апреля 2010 г. N 173, зарегистрирован Минюстом России 25 мая 2010 г., регистрационный N 17350).

Результаты оценки влияния среды функционирования, образцы СКЗИ, которые планируется использовать для защиты информации, содержащейся в ГИС, и технических средств должны пройти экспертизу в ФСБ России.

Обработка защищаемой информации в ГИС при использовании для ее защиты СКЗИ совместно с иными техническими средствами допускается только при наличии положительного заключения ФСБ России, подготовленного по результатам экспертизы.

6. В помещениях, в которых размещены и (или) хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ, должен обеспечиваться режим, препятствующий возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в такие помещения, который достигается посредством:

утверждения правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;

утверждения перечня лиц, имеющих право доступа в помещения.

Помещения, в которых размещены и (или) хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ, предназначенные для защиты информации, содержащейся в ГИС или составной части ГИС (далее — сегмент ГИС), предназначенной для решения задач ГИС на всей территории Российской Федерации или в пределах двух и более субъектов Российской Федерации, обрабатывающей информацию высокого уровня значимости, должны соответствовать следующим требованиям:

окна помещений, расположенных на первых и (или) последних этажах зданий, а также окна помещений, находящихся около пожарных лестниц и других мест, откуда возможно проникновение в помещения посторонних лиц, должны быть оборудованы металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;

окна и двери помещений, в которых размещены серверы ГИС, должны быть оборудованы металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.

7. Класс СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, определяется для каждого сегмента ГИС, предназначенной для решения задач ГИС в пределах определенной территории или объекта (объектов).

В случае если ГИС не содержит сегментов ГИС, то класс СКЗИ, необходимый для защиты содержащейся в ней информации, определяется для ГИС в целом.

8. Определение класса СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, осуществляется в зависимости от уровня значимости обрабатываемой в ГИС информации и масштаба ГИС в соответствии с таблицей, приведенной в приложении к настоящим Требованиям, с учетом особенностей, предусмотренных пунктами 10 — 18 настоящих Требований.

Уровень значимости информации, содержащейся в ГИС, определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации (далее — свойства безопасности информации).

Информация имеет высокий уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации не могут выполнять возложенные на них функции.

Информация имеет средний уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации не могут выполнять хотя бы одну из возложенных на них функций.

Информация имеет низкий уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

9. В случае если ГИС состоит из двух и более сегментов ГИС, то уровень значимости информации и масштаб определяются для каждого сегмента ГИС отдельно.

10. Класс СКЗИ, подлежащих использованию для защиты информации в ГИС (сегменте ГИС), при ее взаимодействии с другими ГИС и (или) сегментами других ГИС определяется по более высокому классу СКЗИ, используемому для защиты информации во взаимодействующих ГИС и (или) сегментах ГИС.

11. Класс СКЗИ, подлежащих использованию для защиты информации во взаимодействующих между собой сегментах одной ГИС, определяется не ниже наименьшего класса СКЗИ, используемого для защиты информации в таких сегментах ГИС.

12. Класс СКЗИ, используемых для взаимодействия граждан (физических лиц) с ГИС (сегментом ГИС), определяется с учетом актуальных угроз безопасности информации и может быть ниже класса СКЗИ, определенного для ГИС (сегмента ГИС) в соответствии с настоящими Требованиями.

13. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак самостоятельно осуществлять создание способов атак, подготовку и проведение атак только вне пределов контролируемой зоны, то для защиты информации в ГИС (сегменте ГИС), в том числе при взаимодействии граждан (физических лиц) с ГИС (сегментом ГИС), необходимо использовать СКЗИ класса КС1.

14. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования, то для защиты информации в ГИС (сегменте ГИС), в том числе при взаимодействии граждан (физических лиц) с ГИС (сегментом ГИС), необходимо использовать СКЗИ класса КС2.

Правило, указанное в абзаце первом настоящего пункта, применяется, если для защиты информации, содержащейся в ГИС (сегменте ГИС), в соответствии с таблицей, приведенной в приложении к настоящим Требованиям, необходимо использовать СКЗИ класса КС1.

15. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования, то для защиты информации в ГИС (сегменте ГИС), в том числе при взаимодействии граждан (физических лиц) с ГИС (сегментом ГИС), необходимо использовать СКЗИ класса КС3.

Правило, указанное в абзаце первом настоящего пункта, применяется, если для защиты информации, содержащейся в ГИС (сегменте ГИС), в соответствии с таблицей, приведенной в приложении к настоящим Требованиям, необходимо использовать СКЗИ класса КС1 или КС2.

16. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак привлекать специалистов, имеющих опыт разработки и анализа СКЗИ, включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ и специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения, то для защиты информации в ГИС (сегменте ГИС), в том числе при взаимодействии граждан (физических лиц) с ГИС (сегментом ГИС), необходимо использовать СКЗИ класса КВ.

Правило, указанное в абзаце первом настоящего пункта, применяется, если для защиты информации, содержащейся в ГИС (сегменте ГИС), в соответствии с таблицей, приведенной в приложении к настоящим Требованиям, необходимо использовать СКЗИ класса КС1, КС2 или КС3.

17. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак привлекать специалистов, имеющих опыт разработки и анализа СКЗИ, включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ, то для защиты информации в ГИС (сегменте ГИС), в том числе при взаимодействии граждан (физических лиц) с ГИС (сегментом ГИС), необходимо использовать СКЗИ класса КА.

18. В случае если иными нормативными правовыми актами, устанавливающими требования о защите информации с использованием СКЗИ, предусмотрена необходимость использовать для защиты информации СКЗИ более высокого класса, чем класс СКЗИ, определенный в соответствии с настоящими Требованиями, то класс СКЗИ, подлежащих использованию в ГИС (сегменте ГИС), определяется в соответствии с такими нормативными правовыми актами.

Уровень значимости информации

Масштаб ГИС (сегмента ГИС)

ГИС

(сегмент ГИС), предназначенная для решения задач ГИС на всей территории Российской Федерации или в пределах двух и более субъектов Российской Федерации

ГИС

(сегмент ГИС), предназначенная для решения задач ГИС в пределах одного субъекта Российской Федерации

ГИС

(сегмент ГИС), предназначенная для решения задач ГИС в пределах объекта (объектов) одного государственного органа, муниципального образования и (или) организации

Высокий уровень значимости

КВ

КС3

КС2

Средний уровень значимости

КС3

КС3

КС1

Низкий уровень значимости

КС2

КС1

КС1
Источник

Понравилась статья? Поделить с друзьями:
  • Руководство компьютерными играми для дошкольников
  • Руководство компании стратегический план
  • Белевская пастила руководство компании
  • Витапрост плюс свечи инструкция по применению в урологии для мужчин
  • Построить дом из бруса своими руками пошаговая инструкция с фото