определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разрабатываемые и утверждаемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085. 2.3. Выбор мер защиты информации для их реализации в информационной системе в рамках ее системы защиты информации Меры защиты информации реализуются в информационной системе в рамках ее системы защиты информации в зависимости от класса защищенности информационной системы, угроз безопасности информации, структурно-функциональных характеристик информационной системы, применяемых информационных технологий и особенностей функционирования информационной системы. В информационной системе подлежат реализации следующие меры защиты информации: идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации; регистрация событий безопасности; антивируснаязащита ; обнаружение (предотвращение) вторжений; контроль (анализ) защищенности информации; обеспечение целостности информационной системы и информации; обеспечение доступности
Средства анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему. В целях выполнения требований законов и подзаконных нормативных актов, регламентирующих вопросы защиты конфиденциальной информации, в том числе персональных данных, используемые средства анализа защищенности как средства защиты информации должны в установленном порядке пройти процедуру оценки соответствия ФСТЭК России. Функциональный модуль обнаружения вторжений Данный модуль должен быть реализован путем использования в составе ИСПДн сертифицированных программных или программно-аппаратных средств (систем) обнаружения вторжений. Функциональный модуль антивируснойзащиты В составе ИСПДн на рабочих станциях и серверах должны применяться сертифицированные средства антивирусной защиты в целях защиты ПДн и программно-технических средств от воздействия вредоносного программного обеспечения. Для программных средств, используемых при защите информации в ИСПДн, должен быть обеспечен четвертый уровень контроля отсутствия НДВ. Все программное и аппаратное обеспечение, реализующее функционал защиты информации, должно быть сертифицировано в системе сертификации ФСТЭК России. II.
3.0, провести приемочные испытания, провести аттестационные мероприятия. Обществом в ответ на претензию министерства от 09.01.2019 №02-11/1 указано, что установить антивирусное программное обеспечение «Dr. WEB Enterprise Security Suite» сертифицированная версия ФСТЭК России (сертификата №3509) не представляется возможным ввиду несовместимости с операционной системой Microsoft Windows 10 (версии 1803, 1709 и 1607) под управлением которых находятся все АРМ министерства. Установка и настройка системы анализа защищенности программного обеспечения TCP/IP сетей (сетевой сканер «Ревизор Сети» версии 3.0) также не произведена по указанным выше причинам. Общество также указало, что программное обеспечение для защиты АРМ от несанкционированного доступа «DALLAS LOCK8.0-K» (номер сборки DL 8.0.485.12) вызывает конфликт совместимости с антивирусным программным обеспечением «Dr.WEB Enterprise Security Suite» (версия 11.5) и работает некорректно. Было предложено установить программное обеспечение для защиты АРМ от несанкционированного доступа «DALLAS LOCK.8.0-K» (номер сборки DL 8.0. 565.2, не являющейся сертифицированной на данный момент, и продлить срок установки и настройки (гарантийное письмо №83 от 26.12.2018). Из
информации, выданный ЗАО НТЦ "Специальные системы". Наличие данного аттестата позволяет утверждать, что персональные данные находящиеся на серверах электронной площадки надежно защищены и соответствуют высоким требованиям хранения и обработки информации, установленными Федеральной службой по техническому и экспертному контролю России. Данным аттестатом разрешается обработка конфиденциальной информации. ЗАО НТЦ "Специальные системы" аккредитовано ФСТЭК в системе сертификации средств защиты информации по требованиям безопасности информации для проведения аттестации объектов информатизации. Вышеуказанный аттестат соответствия подтверждает, что программно-аппаратный комплекс электронной площадки и внедренные на ней программные продукты, были признаны обеспечивающими высокий уровень производительности, надежности, бесперебойности работы площадки в течение 24 часов в сутки. Средства антивирусной, криптографической защиты информации и организованная ЗАО «Вэллстон» служба технической поддержки пользователей признаны обеспечивающими высокую степень надежности защиты информации при проведении всех видов открытых торгов по продаже имущества. В соответствии с заключением № 0112-1СС от 24 января 2012 года, выданного ЗАО НТЦ «Специальные системы», по результатам испытаний на соответствие требованиям по защите
достаточные меры для защиты электронной информации, необходимой для совершения операций по счетам клиентов. В частности, все информационные системы и каналы связи ответчика защищены сертифицированными полномочным государственным органом ( ФСТЭК) средствами криптографической защиты информации (копия лицензии Центра по лицензированию, сертификации и защите государственной тайны ФСБ России № 13259Н от 14.11.2013 на право осуществления деятельности в отношении криптографических средств, а также копии сертификатов и выписки из договоров (соглашений) на их использование прилагаются, сертификаты размещены также на официальном сайте ответчика), все электронно-вычислительные машины ответчика защищены сертифицированными антивирусными программами (Symantec Endpoint Protection - сертификат ФСТЭК № 2033 от 02.03.2010, Kaspersky Security - сертификат ФСТЭК № 2567 от 09.02.2012, копии сертификатов размещены на официальных сайтах компаний-разработчиков). В период действия Договора, заключенного сторонами, использовалось средство криптографической защиты Бикрипт КСБ-С (в дальнейшем Бикрипт-4), на использование которых у ответчика имеются соответствующие сертификаты. Ответчиком выполняются требования, установленные Банком России в "Положении о требованиях к обеспечению защиты информации при
было поручено Обществу с ограниченной ответственностью "Саратовское экспертное бюро", эксперту ФИО3. На разрешение эксперта судом был поставлен следующий вопрос: Соответствует ли установленное на автоматизированное рабочее место антивирусное программное обеспечение требованиям технического задания (приложение №1 к Государственному контракту №50 от 28.09.2020г.). Согласно заключению №380 от 30.08.2021г. антивирусное программное обеспечение, установленное на автоматизированное рабочее место соответствует требованиям технического задания (приложение №1 к Государственному контракту №50 от 28.09.2020г.). В соответствии с классификацией средств антивирусной защиты ФСТЭК России 14.06.2012г. средство антивируснойзащиты Dr.Web Enterprise Securiti Spase соответствует 3, 2 и 1 классу защиты и может использоваться с информацией, содержащей сведения, отнесенные к государственной тайне, что подтверждается сертификатом соответствия №3509, копия которого имеется в формуляре к поставляемому антивирусному программному обеспечению. Установленное программное обеспечение соответствует поставленному медиапакету, срок лицензии составляет (от даты активации 28.12.2020 до даты окончания 15.01.2024) 36 месяцев и 18 дней. Суд считает, что заключение экспертизы №380 от 30.08.2021г., составленное по результатам проведения судебной
не предназначен для обработки и хранения персональных данных. Указанный модуль используется на автоматизированных рабочих местах сотрудников ЦАФАП, находящихся в ведомственной локально-вычислительной сети, не имеющей выхода в сеть Интернет. При этом на автоматизированных рабочих местах приняты необходимые правовые, организационные и технические меры по защите информации, что подтверждено представленными в материалы дела сертификатами ФСТЭК России № от 7 сентября 2012 года (идентификация и аутентификация субъектов и объектов доступа, управление доступом субъектов доступа к объектам доступа, ограничение программной среды, защита машинных носителей информации, на которых хранятся и/или обрабатываются персональные данные, регистрация событий безопасности), № от 20 марта 2012 года (антивируснаязащита ), № от 25 ноября 2013 года (антивирусная защита информации), № № от 6 июля 2018 года (обнаружение (предотвращение) вторжений, обеспечение целостности информационной системы и персональных данных, обеспечение доступности персональных данных), № от 8 июля 2013 года (программное средство автоматизированного анализа защищенности и обнаружения уязвимости автоматизированных систем). Таким образом, объективных доказательств
персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119, п. 4 Состава и содержания, утвержденного приказом ФСТЭК от 18.02.2013 № 21, антивирусное средство должно быть сертифицированным. Непосредственно сам разработчик антивирусного средства «Kaspersky Internet Security» на своем сайте www.kaspersky.ru указывает, что программные продукты «Лаборатории Касперского» имеют сертификаты соответствия ФСТЭК России и ФСБ, что дает возможность их использования в организациях с повышенными требованиями к уровню безопасности. Решения «Лаборатории Касперского» полностью соответствуют требованиям закона о защите персональных данных, предъявляемым к антивирусным продуктам, и могут применяться для защиты систем персональных данных до первого класса включительно и для защиты сведений, составляющих государственную тайну. Для получения сертифицированных продуктов «Лаборатории Касперского» недостаточно просто приобрести лицензии на какой-либо продукт линейки Kaspersky Security для бизнеса. Необходимо также приобрести специальные сертифицированные медиа-паки, в состав которых входят: CD в конверте с записанными сертифицированными приложениями; формуляр — документ, подтверждающий, что данный(е) CD
