Утвержден ФСТЭК России 11 февраля 2014 г. МЕТОДИЧЕСКИЙ ДОКУМЕНТ МЕРЫЗАЩИТЫИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХИНФОРМАЦИОННЫХСИСТЕМАХ 1. ОБЩИЕ ПОЛОЖЕНИЯ Настоящий методический документ ФСТЭК России "Меры защиты информации в государственных информационных системах" (далее - методический документ) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085. Методический документ детализирует организационные и технические меры защиты информации (далее - меры защиты информации), принимаемые в государственных информационных системах (далее - информационные системы) в соответствии
с ресурсами ГИС ТОР КНД с применением СКЗИ/СЭП и СВТ в составе ОИ КНО (ВИС КНО), с которых осуществляется удаленный доступ к ресурсам ГИС ТОР КНД. Результаты определения требуемого класса СКЗИ/СЭП для применения на стороне ОИ КНО при подключении к ГИС ТОР КНД должны быть зафиксированы в отдельном документе, утвержденном руководителем КНО и подписанным членами комиссии. Реализация организационно-технических мерзащитыинформации на стороне КНО на ОИ согласно установленному классу СКЗИ/СЭП должна быть обеспечена КНО до подачи заявки на подключение к ГИС ТОР КНД согласно Регламенту подключения к защищенной сети государственнойинформационнойсистемы "Типовое облачное решение по автоматизации контрольной (надзорной) деятельности" (актуальные редакции размещаются на портале ГИС ТОР КНД по адресу https://knd.gov.ru). ГИС ТОР КНД не поддерживает защищенное взаимодействие с ОИ КНО (ВИС КНО), защищенных с применением СКЗИ по классу выше КС3. ------------------------------------------------------------------
июля 2006 года № 152-ФЗ «О персональных данных» (статья 18,1); —Постановлением Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»; —Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; —Совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»; —Приказом ФСТЭК России от 11 февраля 2013 г, № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационныхсистемах»; —Приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при
действующую на момент проведения аттестационных испытаний АИС «УГНЖ» модель угроз безопасности информации автоматизированной информационной системы «Учет граждан, нуждающихся в жилых помещениях на территории Республики Башкортостан» от 25.05.2015 г. Модель угроз формирует требования к защите информации, содержащейся в АИС «УГНЖ», а процедура аттестации предназначена для проверки функций системы защиты информации АИС «УГНЖ» и проверки выполненных мерзащитыинформации в реальных условиях на соответствие требованиям Приказа ФСТЭК России № 17 от 11.02.2013 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационныхсистемах и в реальных условиях на соответствие требованиям безопасности информации» (далее – Приказ ФСТЭК России № 17). Под аттестацией объектов информатизации понимается комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации (ГОСТ РО 0043-003-2012). Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню
июля 2006 года № 152-ФЗ «О персональных данных» (статья 18,1); Постановлением Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»; Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; Совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»; Приказом ФСТЭК России от 11 февраля 2013 г, № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационныхсистемах»; Приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при
проводит анализ состояния системы защиты информации и выработку предложений по ее совершенствованию в органах исполнительной власти Оренбургской области; согласно п.п. 41 п. 10 осуществляет защиту охраняемой законом информации в пределах ведения Департамента. Департамент как орган исполнительной власти обязан предпринимать меры по обеспечению защитыинформации. Акт проверки ФСТЭК указывает на нарушения, допущенные Департаментом при осуществлении своей деятельности. При поступлении к ним акта они квалифицировали нарушения Департамента по ч. 6 ст. 13.12. КоАП РФ, так как имеют место быть нарушения ст. 16 ФЗ № 149 и Приказа ФСТЭК России от ... и согласно акта ФСТЭК ИС «Интернет портал» и ИС «Электронная почта» содержат признаки государственныхинформационныхсистем, т.е. они придерживаются позиции ФСТЭК . Представитель УФСБ РФ по Оренбургской области ФИО4 пояснил, что в акте проверки комиссия пришла к выводу, что рассматриваемые системы обладают всеми признаками государственных информационных систем, поскольку они были созданы на основании правовых актов органов власти. Порядок работы ИС
с разработкой, производством, реализацией и эксплуатацией средств криптографической защиты информации (п.п.1,3). Содержание организационных и технических мер, направленных для выполнения установленных требований к защите персональных данных, а также положений, определяющих порядок выбора оператора средств защиты информации, для системы защиты персональных данных в государственнойинформационнойсистеме указанный документ не содержит. ГУ МВД России по ДФО не разрабатывало, не производило, не реализовывало и не эксплуатировало СКЗИ. Установленными требованиями к защите информации обязанность использования средств СКЗИ при обработке конфиденциальной информации не предполагается. Контрольный орган в ходе проверки должен установить уровень защищенности персональных данных при их обработке в ИС «ИБД-Регион», требования к защите персональных данных, состав и содержание организационных и технических мер, предъявляемых к СЗИ, необходимых для использования в ИС «ИЮД-Регион». Нормативные акты ФСБ России, раскрывающие практические механизмы реализации Постановления Правительства РФ от ДД.ММ.ГГГГ №1119, не издавались. Приказ ФСТЭК России от ДД.ММ.ГГГГ № не устанавливает состав и содержание технических мер с использованием средств криптографической
СФ/124-2027, срок действия до 4 октября 2016 года). В соответствии с Актами классификации от 17 декабря 2011 г., утвержденными Врио руководителя Росимущества, ФГИАС ЕСУГИ был установлен класс защищенности от несанкционированного доступа - 1Г и класс К2, как информационной системе персональных данных. Меры по защите технических средств, резервному копированию, защите информации при передаче по каналам связи в ФГИАС ЕСУГИ аналогичны мерам, принятым в ЛВС ЦА Росимущества. Более детальная информация содержится в «Акте проверки организации и состояния работ по технической защитеинформации, обеспечению безопасности персональных данных при их обработке в государственныхинформационныхсистемах персональных данных, защите информации, содержащейся в информационных системах общего пользования, в центральном аппарате Федерального агентства по управлению государственным имуществом» направленном письмом Росимущества от 26.03.2015 №93с на имя заместителя директора Федеральной службы по техническому и экспортному контролю с соблюдением требований законодательства Российской Федерации о государственной тайне. Также Территориальным управлением было указано, что мероприятия по технической защите ФГИАС ЕСУГИ проводит Управление
