Класс защищенности информационной системы - гражданское законодательство и судебные прецеденты

условиях на соответствие требованиям безопасности информации» (далее – Приказ ФСТЭК России № 17). Под аттестацией объектов информатизации понимается комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации (ГОСТ РО 0043-003-2012). Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Выбор мер защиты информации осуществляется исходя из класса защищенности информационной системы , определяющего требуемый уровень защищенности содержащийся в ней информации, и угроз безопасности информации, включенных в модель угроз безопасности информационной системы, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования. Акционерное общество «ЦентрИнформ» как действующий лицензиат ФСТЭК России (лицензия ФСТЭК России №0849 от 23 июля 2009г.) корректно выдало Аттестат соответствия. Выданный аттестат соответствия легитимен, потому что проведенные аттестационные испытания, в ходе которых осуществлялась проверка функций системы защиты информации АИС «УГНЖ»

ИС; если в техническом задании приведены все необходимые требования по защите информации, то частное техническое задание является избыточным; состав средств защиты информации до этапа проектирования системы защиты информации определить невозможно». Также Управление ФСТЭК России по Приволжскому федеральному округу указало на то, что при отсутствии проектной и эксплуатационной документации на создание системы защиты информации ИС имеется риск неправильного выбора средств защиты информации. Следовательно, отсутствие информации о мерах защиты информации, подлежащих реализации в информационной системе, класса защищенности информационной системы не позволяет спрогнозировать количественный состав, требования к средствам защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, выбор которых осуществляется на этапе проектирования системы защиты в ходе выполнения работ. Тогда как, организация, имеющая исключительный доступ к информации (модель угроз, типовая модель угроз, требования), имеет возможность спрогнозировать состав, виды, тип и требования, предъявляемые к средствам защиты информации, включая затраты на выполнение работ, в отличие от иных потенциальных участников аукциона. В

жалобе ответчик указывает на то, что АРМ администратора исполнителя не соответствует требованиям, предъявляемым к государственным информационным системам второго класса защищенности в связи с отсутствием в техническом паспорте информации, свидетельствующей о наличии обязательных средств контроля защищенности информации и построения виртуальных частных сетей с использованием шифровальных (криптографических) средств. Из материалов дела усматривается, что средство построения виртуальных частных сетей с использованием шифровальных (криптографических) средств ПК «ViPNet Client 4» установлено без лицензии, при этом контрактом не предусмотрена обязанность истца по приобретению указанной лицензии. Вместе с тем, несмотря на отсутствие у истца обязанности по приобретению лицензии, 03.12.2019 истец выполнил данные требования ответчика. Таким образом, в связи с приобретением истцом лицензии на использование ПО VIPNet Client for Widows 4.х, у суда апелляционной инстанции отсутствуют основания полагать, что АРМ администратора исполнителя не соответствовало требованиям, предъявляемым к государственным информационным системам второго класса защищенности. На основании изложенного, апелляционный суд полагает обоснованным вывод суда первой инстанции о неправомерности принятого ответчиком

от 08 июня 2022 года № 86/715-8 (далее по тексту - Требования к ДЭГ). Пунктом 1.8 Требований к ДЭГ предусмотрено, что для проведения ДЭГ могут использоваться федеральные и региональные государственные информационные системы, прошедшие сертификацию и соответствующие требованиям: - к защите информации, не составляющей государственную тайцу, содержащейся в государственных информационных системах первого класса защищенности; - к защите персональных данных при их обработке в государственных информационных системах по третьему или выше уровню защищенности. Определение класса защищенности государственной информационной системы осуществляется в соответствии Требованиями о защите информации, не составляющей государственную <данные изъяты>, содержащейся в государственных информационных системах, утвержденными приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 11 февраля 2013 года № 17 (далее по тексту - Требования ФСТЭК). Согласно пунктам 4.4 и 6.2 Порядка ДЭГ устройство участника дистанционного электронного голосования используется последним для доступа к электронному бюллетеню и осуществлению волеизъявления. Волеизъявление избирателя и есть вся внешняя информация, которая может