Требования стр-к действующие

24.03.2018 Выкл. Автор admin

Оглавление:

Требования по защите информации и созданию системы защиты информации

12.1. Организация работ по ТКЗИ

Организация работ по ТКЗИ возлагается на руководителей организации, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации на руководителей подразделений по защите информации (служб безопасности) организации.

Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) СЗИ объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.

Разработка системы защиты информации может осуществляться как подразделением организации, так и специализированным предприятием, имеющим лицензии ФСТЭК на соответствующий вид деятельности в области защиты информации. Во втором случае в организации, для которой создается система защиты информации, определяются подразделения (или отдельные должностные лица), ответственные за организацию и проведение мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.

Разработка и внедрение системы защиты информации (СЗИ) осуществляется во взаимодействии разработчика со службой безопасности организации-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.

Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по защите информации» и должна предусматривать:

  • порядок определения защищаемой информации;
  • порядок привлечения подразделений, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;
  • порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
  • порядок разработки, ввода в действие и эксплуатацию объектов информатизации;
  • ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.

В организации должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

12.2. Требования по защите информации, содержащейся в информационной системе (на объекте информатизации)

Формирование требований к защите информации осуществляется обладателем информации (заказчиком) с учетом требований действующих нормативных правовых актов и методических документов для конкретного объекта информатизации. Здесь и далее в качестве объекта информатизации будет рассматриваться информационная система.

Требования по защите информации определены в руководящих документах ФСТЭК и ФСБ России. Документы можно разделить на ряд направлений:

  1. Защита конфиденциальной информации (в том числе персональных данных);
  2. Защита государственной тайны;
  3. Защита информации в ключевых системах информационной инфраструктуры (защита информации криптографическими методами).

В рамках данного курса будут рассмотрены требования первой группы.

Одним из основополагающих документов в рамках защиты от утечки по техническим каналам утечки является методический документ Гостехкомиссии «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее СТР-К).

Документ определяет следующие основные вопросы защиты информации:

  • организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;
  • состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;
  • требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;
  • требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;
  • порядок обеспечения защиты информации при эксплуатации объектов информатизации;
  • особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;
  • порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

Рассмотрим основные требования и рекомендации СТР-К.

12.3. Требования и рекомендации по защите акустической речевой информации

  1. Документально определенный перечень защищаемых помещений (далее ЗП) и лиц, ответственных за их эксплуатацию; технический паспорт на ЗП (форма паспорта приведена в приложениях СТР-К);
  2. ЗП должны быть в пределах контролируемой зоны (далее КЗ). Рекомендуется:
    • Размещать ЗП на удалении от границ КЗ.
    • Ограждающие конструкции не должны быть смежными с помещениями других организаций.
    • Не располагать ЗП на первых этажах.
    • Оборудовать окна ЗП шторами или жалюзи.

В случае если перечисленные меры недостаточны, рекомендуется применять сертифицированные средства активной защиты, которые будут рассмотрены позже.

Помимо перечисленных мер необходимо предусмотреть организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение.

Передача конфиденциальной речевой информации по открытым проводным каналам связи, выходящим за пределы КЗ, и радиоканалам должна быть исключена. При необходимости такой передачи следует использовать защищенные линии связи, устройства скремблирования или криптографической защиты. В СТР-К также предусмотрены меры по защите информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов и меры по защите информации при проведении звукозаписи.

12.4. Требования и рекомендации по защите информации, обрабатываемой техническими средствами, от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН)

Как уже отмечалось в предыдущих лекциях, основными направлениями защиты информации в автоматизированной системе (далее АС ) является обеспечение безопасности от несанкционированного доступа (НСД) и от утечки по техническим каналам утечки.

В качестве основных мер защиты информации в СТК-К рекомендуется:

Помогите пожалуйста по СТР-К

Подскажите верна ли моя информация? Ничего не изменилось?
«Специальных требований и рекомендаций по технической защите конфиденциальной информации» (Решение Коллегии Гостехкомиссии России № 7.2/02.03.01г)
п. 3.24 , С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния защиты информации.

Во-первых цитирование СТР-К запрещено.

Во-вторых, последняя версия СТР-К явно не 2001г., а как минимум 2002 + выходившие извещения.

В третьих, ЕТК как был раз в год (не реже раза в год) так и остался.

Зашедший
все это понятно )
ДСП
Что выдала сеть:
1) действующая редакция утверждена 30.08.2002 приказом ГТК №282.

2) нормативно-методического документа «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденного приказом Гостехкомиссии России от 30 августа 2002 г. № 282.
Нашел в сети.. спасибо за «помощь»
К стати можно скачать.
Ссылку не кину сами понимаете
>>> Во-первых цитирование СТР-К запрещено.

«Задача сохранности ДСП — стоит только перед владельцем.
Если я не владелец могу цитировать что хочу и никто не запретит!
В законах РФ нет такого понятия ДСП.
пп 1233 само по себе только относительно законно и то только для ОГВ а для частных лиц параллельно. «

Вот до чего доводит безнаказанность .

> Вот до чего доводит безнаказанность .

Не безнаказанность, а беззаконность 😉

Ну нету у граждан и организаций обязаности хранить в секрете «документы ограниченного доступа органов государственной власти» 🙂

«Ну нету у граждан и организаций обязаности хранить в секрете «документы ограниченного доступа органов государственной власти» :)»

ФЗ 149 Статья 9. Ограничение доступа к информации
2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Закона о служебной тайне нет !
Но это не значит что должен быть правовой нигилизм!!

А если есть соглашения о конфиденциальности. А оно должно быть!!

«А если я скачал документ ДСП из открытого источника в Интернете»

Где это вы скачали такой документ? С действующей пометкой?
Если вы про СТР-К то вы не то скачали !

Другие публикации:  Минимальная пенсия нсо

Автор: malotavr | 29936 20-07-2011 Ну нету у граждан и организаций обязаности хранить в секрете «документы ограниченного доступа органов государственной власти» 🙂

откуда такое чудо ? не иначе из какого-нибудь фронта против.

> откуда такое чудо ?

> не иначе из какого-нибудь фронта против.

Я без фронта — сам по себе против идиотизма.

По существу есть что возразить, или вы так, потрындеть решили?

> Я без фронта — сам по себе против идиотизма.

удостоверение не-идиота есть ?

> чо на людей бросаетесь

> и бред распространяете?

Деточка, учите матчасть. Чтобы использовать слово «бред» нужны веские аргументы. А аргументов от вас нет и быть не может, потому что режим служебной тайны и условия его введения в законодательстве не определены.

Если вы почитаете постановление 1233, то увидите, что пометка «для служебного пользования» ставится на документы, содержащие служебную информацию ограниченного распространения. Постановление не вводит в отношении этой информации режим служебной тайны, а область его действия — ОГВ и подведомтсвенные органиазци. Иных нормативных документов, устанавливающих ответственность третьих лиц за распространение служебой информации в природе не существует.

к этой цитате ссылку приведите: «нету у граждан и организаций обязаности хранить в секрете «документы ограниченного доступа органов государственной власти».
пока это бред Ваш личный.

собственное Ваше понимание, далёкое от объективной реальности, без цитат и ссылок на действующие НМД неприменимо и к делу не подошьёшь.

Малотавр прав!
Любое ограничение допуска предусматривает сначала ознакомление с правилами.
2. Проведение проверочных мероприятий отност. будущего подписанта
3. Собственно подписание
4. После подписания начинается ответственность за доверенные секреты
5. Любой секрет выдается только под личную роспись — нет росписи — не ознакомлен — не отвечает за.

Не надо ставить лошадь после телеги — не удобно это!

ОГВ в 1233 разрешено для себя разрабатывать правила ( эти правила распостраняются только на сотрудников с ними ознакомленных)
Для любых людей не входящих в этот узкий круг — все эти ДСП только древено0стружечная плита а не
СИОР-ДОР-ДСП.

Наплюйте и забудьте как на бред — если вам это не передано под роспись.
Даже если Вам что-то прислали в конверте — в нутрех с ДСП наплюйте — ответственность только на отправившем — НЕ НА ВАС!!

Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России

Информационное сообщение ФСТЭК России от 15 июля 2013 г. N 240/22/2637

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

ПО ВОПРОСАМ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ ОТ 11 ФЕВРАЛЯ 2013 Г. N 17 «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ» И ПРИКАЗА ФСТЭК РОССИИ ОТ 18 ФЕВРАЛЯ 2013 Г. N 21 «ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ»

от 15 июля 2013 г. N 240/22/2637

В соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и законодательством о персональных данных Федеральной службой по техническому и экспортному контролю (ФСТЭК России) в пределах своих полномочий утверждены Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (приказ ФСТЭК России от 11 февраля 2013 г. N 17, зарегистрирован Минюстом России 31 мая 2013 г., рег. N 28608) и Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (приказ ФСТЭК России от 18 февраля 2013 г. N 21, зарегистрирован Минюстом России 14 мая 2013 г., рег. N 28375).

В связи с изданием указанных нормативных правовых актов в адрес ФСТЭК России поступают обращения о разъяснении отдельных положений Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21. Данный вопрос обсуждается специалистами в области защиты информации на различных форумах и электронных площадках в сети Интернет.

Учитывая характер наиболее часто обсуждаемых вопросов и в целях разъяснения отдельных положений указанных приказов ФСТЭК России, считаем целесообразным сообщить следующее.

1. По вопросу вступления в действие Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, а также необходимости проведения повторной аттестации (оценки эффективности) информационных систем аттестованных (прошедших оценку эффективности) до вступления в действие указанных приказов ФСТЭК России.

В соответствии с пунктом 12 Указа Президента Российской Федерации от 23 мая 1996 г. N 763 «О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти» нормативные правовые акты федеральных органов исполнительной власти вступают в силу одновременно на всей территории Российской Федерации по истечении десяти дней после их официального опубликования, если самими актами не установлен другой порядок введения их в действие.

Таким образом, Состав и содержание мер, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, вступили в действие со 2 июня 2013 г. Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, вступают в действие с 1 сентября 2013 г.

Исходя из общих принципов норм права по действию во времени, изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления актов в силу (если иное не установлено федеральными законами).

Учитывая изложенное, информационные системы, аттестованные (прошедшие оценку эффективности) по требованиям защиты информации до вступления в действие Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, повторной аттестации (оценке эффективности) в связи с изданием указанных нормативных правовых актов не подлежат.

2. По вопросу требований, которыми необходимо руководствоваться для обеспечения безопасности персональных данных при их обработке в государственных информационных системах, а также определения класса защищенности государственной информационной системы, в которой обрабатываются персональные данные.

В соответствии с пунктом 7 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий в соответствии с частью 5 статьи 6 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Указанные требования утверждены приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Учитывая, что меры по обеспечению безопасности персональных данных и порядок их выбора, установленные Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, аналогичны мерам защиты информации и порядку их выбора, установленным Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, для обеспечения безопасности персональных данных, обрабатываемых в государственных информационных системах, достаточно руководствоваться только Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Вместе с тем, в соответствии с пунктом 5 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, при обработке в государственной информационной системе информации, содержащей персональные данные, требования о защите информации, не составляющей государственную тайну, в государственных информационных системах применяются наряду с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

Таким образом, для обеспечения безопасности персональных данных при их обработке в государственных информационных системах в дополнение к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, необходимо руководствоваться требованиями (в том числе в части определения уровня защищенности персональных данных), установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119. При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Другие публикации:  Экспертиза состав воды

3. По вопросу о форме оценки эффективности принимаемых мер по обеспечению безопасности персональных данных, о форме и содержании материалов оценки эффективности, а также о возможности проведения оценки эффективности при проведении аттестации информационной системы.

В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.

Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.

Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».

В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

4. По вопросу о применении Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, в отношении муниципальных информационных систем.

В соответствии с частью 4 статьи 13 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» требования к государственным информационным системам, установленные указанным Федеральным законом, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении.

Таким образом, Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении (в частности, Федеральным законом от 6 октября 2003 г. N 131-ФЗ «Об общих принципах местного самоуправления в Российской Федерации» и принятыми в соответствии с ним иными нормативными правовыми актами Российской Федерации).

5. По вопросу применения «Специальных требований и рекомендаций по технической защите конфиденциальной информации» с учетом издания приказа ФСТЭК России от 11 февраля 2013 г. N 17.

Издание приказа ФСТЭК России от 11 февраля 2013 г. N 17 не отменяет действие методических документов «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее – СТР-К) и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования о защите информации» (далее – РД АС).

СТР-К применяется в качестве методического документа при реализации мер по защите технических средств государственных информационных систем (ЗТС.1), выбранных в соответствии с пунктом 21 и приложением N 2 к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, в целях нейтрализации угроз безопасности информации, связанных с защитой информации, представленной в виде информативных электрических сигналов и физических полей (защита от утечки по техническим каналам).

Иные положения СТР-К (раздел 3 «Организация работ по защите конфиденциальной информации», раздел 5 «Требования и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных системах») могут применяться по решению обладателей информации, заказчиков и операторов государственных информационных систем в части, не противоречащей Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Кроме того, положения СТР-К и РД АС применяются по решению обладателя информации (заказчиков, операторов информационных систем) для защиты информации, содержащей сведения конфиденциального характера (Указ Президента Российской Федерации от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера»), обрабатываемой в информационных системах, которые в соответствии с Федеральным законом от
27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» не отнесены к государственным информационным системам.

6. По вопросу применения понятий «информационная система» и «автоматизированная система».

В Требованиях, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Составе и содержании мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, используется понятие «информационная система», установленное Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». При этом понятие «государственная информационная система», цели и порядок ее создания, а также порядок эксплуатации установлены статьями 13 и 14 указанного Федерального закона.

В иных методических документах и национальных стандартах в области защиты информации используется понятие «автоматизированная система», определенное национальным стандартом ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».

Учитывая, что Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состав и содержание мер, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, разрабатывались во исполнение федеральных законов от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 27 июля 2006 г. N 152-ФЗ «О персональных данных» соответственно, в которых используется понятие «информационная система», в нормативных правовых актах ФСТЭК России также использовано указанное понятие.

Исходя из родственных определений понятия «информационная система», установленного Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», и понятия «автоматизированная система», установленного национальным стандартом ГОСТ 34.003-90, а также из содержания Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, использование в нормативных правовых актах ФСТЭК России понятия «информационная система» не влияет на конечную цель защиты информации.

7. По вопросу отражения в сертификатах соответствия на средства защиты информации результатов их проверки на отсутствие недекларированных возможностей, а также отражения в конструкторской и эксплуатационной документации возможности применения средств защиты информации в государственных информационных системах и информационных системах персональных данных.

В соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, в государственных информационных системах 1 и 2 классов защищенности, а также для обеспечения 1, 2 уровней защищенности и 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. При этом выбор классов защиты сертифицированных средств защиты информации в зависимости от класса защищенности государственных информационных систем и уровня защищенности персональных данных осуществляется в соответствии с пунктом 26 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и пунктом 12 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, соответственно.

Отмечаем, что требования по безопасности информации к средствам защиты информации, утвержденные ФСТЭК России в пределах своих полномочий начиная с декабря 2011 г., включают требования по соответствующему уровню контроля отсутствия недекларированных возможностей для классов защиты этих средств.

В частности, системы обнаружения вторжений и средства антивирусной защиты, сертифицированные на соответствие Требованиям к системам обнаружения вторжений, утвержденным приказом ФСТЭК России от 6 декабря 2011 г. N 638, и Требованиям к средствам антивирусной защиты, утвержденным приказом ФСТЭК России от 20 марта 2012 г. N 28, по 4 классу защиты соответствуют 4 уровню контроля отсутствия недекларированных возможностей.

При использовании в государственных информационных системах соответствующего класса защищенности и для обеспечения установленного уровня защищенности персональных данных средств защиты информации, сертифицированных на соответствие требованиям безопасности информации, установленным в технических условиях (заданиях по безопасности) и (или) иных нормативных документах ФСТЭК России, соответствие уровню контроля отсутствия недекларированных возможностей указывается в сертификатах соответствия требованиям по безопасности информации на эти средства защиты информации.

Другие публикации:  Требования к прокладке оптического кабеля

Возможность применения в государственных информационных системах соответствующего класса защищенности и для обеспечения установленного уровня защищенности персональных данных средств защиты информации, сертифицированных на соответствие требованиям безопасности информации, установленным в технических условиях (заданиях по безопасности), указывается заявителем (разработчиком, производителем) в эксплуатационной и конструкторской документации на эти средства (формулярах и технических условиях).

8. По вопросу применения дополнительных мер защиты информации, направленных на нейтрализацию актуальных угроз безопасности персональных данных 1-го и 2-го типов.

В соответствии с пунктом 11 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, в целях снижения вероятности возникновения угроз безопасности персональных данных 1-го и 2-го типов могут применяться дополнительные меры, связанные с тестированием информационной системы на проникновения и использованием в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.

Указанные меры применяются для обеспечения безопасности персональных данных по решению оператора. При этом до разработки и утверждения ФСТЭК России методических документов по реализации указанных мер порядок их применения, а также форма и содержание документов определяются оператором самостоятельно.

9. По вопросу разработки методических документов ФСТЭК России в целях реализации Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Приказ ФСТЭК России от 18 февраля 2013 г. N 21 издан во исполнение части 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Указанным Федеральным законом разработка ФСТЭК России иных документов по обеспечению безопасности персональных данных, в том числе по моделированию угроз безопасности персональных данных, не предусмотрена. Определение типов угроз безопасности персональных данных осуществляется оператором в соответствии с пунктом 7 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

Одновременно в рамках полномочий по методическому руководству в области технической защиты информации, а также в целях реализации пунктов 14.3 и 21 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, в настоящее время в ФСТЭК России завершается разработка методических документов по описанию содержания мер защиты информации в информационных системах и порядку моделирования угроз безопасности информации в информационных системах. Ориентировочный срок утверждения документов – IVквартал 2013 г.

Кроме того, планируется разработка методических документов, определяющих порядок обновления программного обеспечения в аттестованных информационных системах, порядок выявления и устранения уязвимостей в информационных системах, порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации, а также ряда других методических документов, направленных на реализацию Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Одновременно сообщаем, что ФСТЭК России не наделена полномочиями по разъяснению Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, в том числе в части определения типов угроз персональных данных и порядка определения уровней защищенности персональных данных.

Специальные требования и рекомендации по технической защите конфиденциальной информации

«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утверждены приказом Гостехкомиссии России от 30.08.2002 №282.

СТР-К является нормативно-методическим документом и устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну на территории Российской Федерации.

Требования и рекомендации этого документа распространяются на защиту государственных информационных ресурсов некриптографическими методами (служебная тайна), направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и специальных воздействий на информацию в целях её уничтожения, искажения и блокирования.

При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования настоящего документа носят рекомендательный характер.

Документ определяет следующие вопросы защиты конфиденциальной информации:

организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;

состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;

требования и рекомендации по защите речевой информации при ведении переговоров, в том числе с использованием технических средств;

требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;

порядок обеспечения защиты информации при эксплуатации объектов информатизации;

особенности защиты информации при разработке и эксплуатации АС, использующих различные типы СВТ и информационные технологии;

порядок обеспечения защиты информации при взаимодействии абонентов с Сетями.

Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации. Защите подлежит речевая информация и информация, обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнито-оптической и иной основе.

Объектами защиты при этом являются:

средства и системы информатизации (СВТ, АС различного уровня и назначения на базе СВТ, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки конфиденциальной информации;

технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

Защита информации на объекте информатизации достигается выполнением комплекса организационных мероприятий и применением средств защиты информации от утечки по техническим каналам, несанкционированного доступа, программно-технических

воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе её обработки, передачи и хранения, а также работоспособности технических средств.

При защите информации в локальных вычислительных сетях (ЛВС) конфиденциальная информация может обрабатываться только в ЛВС, расположенных в пределах контролируемой зоны.

Средства зашиты информации от НСД должны использоваться во всех узлах ЛВС независимо от наличия (отсутствия) конфиденциальной информации в данном узле ЛВС и требуют постоянного квалифицированного контроля настроек СЗИ администратором безопасности информации. Класс защищённости ЛВС определяется в соответствии с требованиями действующих руководящих документов ФСТЭК России.

Для управления, контроля защищённости ЛВС и распределения системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты.

Требования стр-к действующие

Конференция «Проблема защиты государственных информационных систем и персональных данных»
10.09.13
Компания «Информзащита» принела участие в межрегиональной конференции по вопросам информационной безопасности, которая состоялась 10 сентября 2013 г. в Воронеже «Проблема защиты государственных информационных систем и персональных данных: пути практического решения». Мероприят.

Комплексное обеспечение защиты информации в ведомственных информационных системах
03.12.12
Компания «Информзащита» приняла участие в научно-практическиом семинаре «Комплексное обеспечение защиты информации в ведомственных информационных системах» 14 ноября 2012г. кафедрой информационной безопасности проведен научно-практический семинар «Комплексное обеспечение защиты информации в ведомственных информационных системах». В работе семинара приняли участие: профессорско-преподавательский состав кафедры.

Компания «Информзащита» аккредитована Роскомнадзором в качестве экспертной организации
17.05.12
Компания «Информзащита» первой в Центральном Черноземье получила государственную аккредитацию Роскомнадзора в качестве экспертной организации привлекаемой в ходе проверок в области персональных данных в России. Виды экспертной деятельности: 1. Обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осущ.

Семинар «Информационная безопасность на предприятии»
13.03.12
Компания «Информзащита» приняла участие в семинаре «Информационная безопасность на предприятии», котрый состоялся 13 марта 2012 года вконференц-зале Воронежского госуниверситета. Это первое крупное мероприятие Воронежского клуба ИТ-директоров. Оно было посвящено одной из наиболее актуальных тем для CIO (Chief Informatio.

Семинар кафедры информационной безопасности Воронежского института МВД России
01.11.11
Компания «Информзащита» приняла участие в межведомственном семинаре кафедры информационной безопасности Воронежского института МВД Россиина: «Техническое обеспечение защиты информации в информационных системах органов внутренних дел». В работе семинара приняли участие: профессорско-преподавательский состав кафедры информационной безопаснос.