понедельник, 27 мая 2019 г.

Список НПА, в которых требуется использование СКЗИ

Для ряда организаций использование средств криптографической защиты информации (СКЗИ), сертифицированных ФСБ России, является необходимым. Собрал нормативку с требованиями в одной заметке.

Государственные органы


2. Запретить использование государственными организациями и предприятиями в информационно - телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

*Указ Президента РФ от 11 марта 2003 г. N 308 "О мерах по совершенствованию государственного управления в области безопасности Российской Федерации":
Функции ФАПСИ переданы ФСБ России

Федеральные органы исполнительной власти (ИС общего пользования)

Приказ ФСБ России, ФСТЭК России №416/489

17.1. В информационных системах общего пользования I класса:
использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);

Аналогично для 17.2. В информационных системах общего пользования II класса

ПДн

Приказ ФСБ России №378

9. в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.

Далее выбор конкретного класса в зависимости от возможностей атакующего

Единая биометрическая система


Пример – актуальные угрозы безопасности при взаимодействии между структурными подразделениями организации (п. 11 – КС2, п.12 – КС3)

1.2 при сборе биометрических ПДн в государственных органах, банках и иных организациях, включая сбор биометрических ПДн и передачу собранных биометрических ПДн между структурными подразделениями государственного органа, банка и иной организации,  -угроза нарушения целостности (подмены, удаления) биометрических ПДн, нарушения конфиденциальности (компрометации) биометрических ПДн, нарушения достоверности биометрических ПДн (внесение фиктивных биометрических ПДн), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 приложения к приказу ФСБ России N 378 (в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса) и в пункте 12 приложения к приказу ФСБ России N 378 (в случае неприменения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса);


Энергетика


14. Для предотвращения угроз информационной безопасности Систем Удаленного Мониторинга и Диагностики (СУМиД) в отношении аппаратной инфраструктуры СУМиД субъектом электроэнергетики должна обеспечиваться безопасность ее функционирования.
Для обеспечения безопасности функционирования аппаратной инфраструктуры СУМиД субъект электроэнергетики должен:
<...>
применять средства защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности защиты информации, сертифицированные в соответствии с Федеральным законом от 27.12.2002 N 184-ФЗ "О техническом регулировании"


Здравоохранение

Приказ Минздрава №911н от 24.12.2018

Касается всех медицинских и фармацевтических организаций (323-ФЗ)

9. Программно-технические средства информационных систем должны:
а) располагаться на территории Российской Федерации;
б) соответствовать требованиям, предусмотренным постановлением Правительства Российской Федерации от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд»;
в) быть сертифицированными Федеральной службой безопасности Российской Федерации и (или) Федеральной службой по техническому и экспортному контролю в отношении входящих в их состав средств защиты информации, включающих программно-аппаратные средства, средства антивирусной и криптографической защиты информации и средства защиты информации от несанкционированного доступа, уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий в отношении такой информации (в том числе сведения, составляющие врачебную тайну);

Данный приказ вступает в силу с 1 января 2020 года.

Регламент предоставления услуги подключения к ЗСПД Министерства Здравоохранения РФ региональных медицинских организаций


Документ определяет общие положения и правила по построению процесса подключения региональных ОУЗ/ФГУ к информационным системам и ресурсам Единой Государственной информационной системы здравоохранения Российской Федерации (далее – ЕГИСЗ), развернутой на инфраструктуре и вычислительных мощностях федерального центра обработки данных (далее - ФЦОД) Минздрава России с применением средств криптографической защиты передаваемой информации, сертифицированных на соответствие требованиям ФСБ России к средствам криптографической защиты информации (далее – СКЗИ) по классу КС3 и требованиям ФСТЭК России по 3-му классу к межсетевым экранам (МЭ).

Финансовые организации


Положение Банка России от 09.01.2019 № 672-П «О требованиях к защите информации в платежной системе Банка России»


14.2. Участники СБП (сервиса быстрых платежей) и ОПКЦ (операционный центр, платежный клиринговый центр) должны обеспечивать защиту электронных сообщений при передаче между участниками СБП и ОПКЦ:

применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

Данный пункт вступает в силу с 1 июля 2021 года.

Аналогично для пунктов:
14.3. Участники ССНП (сервиса срочного перевода и сервиса несрочного перевода) должны обеспечивать защиту электронных сообщений при их передаче в Банк России (данный пункт вступает в силу с 1 июля 2021 года)
14.4. ОПКЦ должен обеспечивать защиту электронных сообщений при их передаче в Банк России (данный пункт вступает в силу с 1 июля 2020 года)


ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер"


8.3.1 Деятельность в рамках направления «Реализация» выполняется по результатам выполнения направлений «Планирование» и (или) «Совершенствование» (см. 8.2 и 8.5 настоящего стандарта соответственно).
В рамках направления «Реализация» финансовая организация обеспечивает:
<…>
применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия [в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации;

РЗИ.14 Применение СКЗИ, имеющих класс не ниже КС2 * (для УЗ-1)

* - В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.

Положение Банка России от 17.04.2019 N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»

(ссылка на ГОСТ Р 57580.1-2017)

3.1. Кредитные организации должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).

Данный пункт вступает в силу с 1 января 2021 года.

Положение Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» 

(ссылка на ГОСТ Р 57580.1-2017)

5. Защита информации в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых осуществляется некредитными финансовыми организациями (далее при совместном упоминании - объекты информационной инфраструктуры), должна осуществляться некредитной финансовой организацией в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер"

Данный пункт вступает в силу с 1 января 2021 года.

Страховые компании

(ссылка на ГОСТ Р 57580.1-2017)

3. ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ
3.1. При обеспечении защиты информации, полученной страховщиком при осуществлении им страховой деятельности, включая обеспечение целостности указанной информации, ее доступности и конфиденциальности, защите персональных данных получателей финансовых услуг страховщик обязан соблюдать требования, определенные законодательством Российской Федерации, иными нормативно-правовыми актами и национальными стандартами, в том числе:
<…>
- ГОСТ Р 57580.1-2017 Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. 16 - ГОСТ Р 57580.2 Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия.

Транспорт


Постановление Правительства РФ от 24 июля 2019 г. N 955 "Об утверждении требований к автоматизированной информационной системе оформления воздушных перевозок, к базам данных, входящим в ее состав, к информационно-телекоммуникационной сети, обеспечивающей работу указанной автоматизированной информационной системы, к ее оператору, а также мер по защите информации, содержащейся в ней, и порядка ее функционирования"

13. Меры по защите информации, содержащейся в автоматизированных
системах, реализуются операторами автоматизированных систем посредством
обеспечения конфиденциальности и целостности информации, передаваемой
через общедоступные каналы связи, с применением сертифицированных средств
криптографической защиты информации.

Постановление вступает в силу с 31 октября 2021 г.

КИИ, ГосСОПКА


20. Криптографические средства защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств защиты информации.

Центры мониторинга


27. Средства защиты каналов передачи данных
Должны обеспечивать конфиденциальность и целостность данных, передаваемых по каналам связи между информационной системой, используемой для управления информационной безопасностью, и информационными системами, в отношении которых осуществляется мониторинг.
Должны иметь сертификаты соответствия ФСБ России


Электронное правительство


Подключение к СМЭВ


120. Все каналы связи системы взаимодействия, выходящие за пределы контролируемых зон
участников взаимодействия, должны быть защищены с помощью сертифицированных средств криптографической защиты информации, удовлетворяющих установленным требованиям к средствам криптографической защиты информации класса не ниже КСЗ и находящихся в пределах контролируемых зон участников взаимодействия.
121. Доступ к электронным сервисам информационных систем участников взаимодействия должен осуществляться с использованием сертифицированных средств межсетевого экранирования.

Требования к ИС организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие ИС, используемых для предоставления государственных и муниципальных услуг в электронной форме

Приказ Минкомсвязи России от 09.12.2013 №390

При подключении к закрытому контуру инфраструктуры взаимодействия, представляющему собой совокупность информационных систем, технических устройств и каналов связи, используемых для взаимодействия органов и организаций, указанных в пункте 1 Положения об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме, <…>, и доступ к которому предоставляется лицам, прошедшим процедуры идентификации и аутентификации в установленном оператором инфраструктуры взаимодействия порядке, защита каналов связи должна быть осуществлена средствами криптографической защиты, сертифицированными по классу не ниже КС3.

Подключение к ФГИС ЕГРН (Единый государственный реестр недвижимости Росреестра)


СОГЛАШЕНИЕ о взаимодействии при подключении Пользователя к веб-сервисам Росреестра и об условиях пользования сервисами и системами Росреестра

В рамках настоящего Соглашения Сторонами обеспечивается:
<...>
3.1.2. Со стороны Пользователя.
Пользователем обеспечивается программно-аппаратный комплекс, необходимый для подключения к защищенному каналу связи, совместимый с ПАК СКЗИ Росреестра, соответствующий требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, требованиям ФСБ России к средствам криптографической защиты класса КС3, имеющий действующие сертификаты соответствия ФСТЭК России и ФСБ России;


Заметка будет пополняться, продолжение следует...
P.S. Реестр сертифицированных СКЗИ доступен  на сайте ФСБ России.

Комментариев нет:

Отправить комментарий