ОБ ИЗМЕНЕНИЯХ, ВНЕСЁННЫХ В НОРМАТИВНО-ПРАВОВУЮ БАЗУ ПО ЗАЩИТЕ ИНФОРМАЦИИ В 2016 - 2017 ГОДАХ Заместитель начальник отдела комплексного технического контроля Управления ФСТЭК России по Приволжскому федеральному округу КОЗЕЕВ Сергей Александрович 1
2 ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 11 мая 2017 г. № 555 О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ТРЕБОВАНИЯ К ПОРЯДКУ СОЗДАНИЯ, РАЗВИТИЯ, ВВОДА В ЭКСПЛУАТАЦИЮ И ВЫВОДА ИЗ ЭКСПЛУАТАЦИИ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ И ДАЛЬНЕЙШЕГО ХРАНЕНИЯ СОДЕРЖАЩИХСЯ В ИХ БАЗАХ ДАННЫХ ИНФОРМАЦИИ (Постановление Правительства РФ от 6 июля 2015 г. № 676)
3 ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 11 мая 2017 г. № 555 При реализации органами исполнительной власти мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем и дальнейшему хранению содержащейся в их базах данных информации должны выполняться: а) требования о защите информации, устанавливаемые регуляторами; б) требования к организации и мерам защиты информации, содержащейся в системе. Органы исполнительной власти определяют требования к защите информации, содержащейся в системе органа исполнительной власти, для чего осуществляют: а) определение информации, подлежащей защите; б) анализ нормативных правовых актов, которым должна соответствовать система; в) классификацию системы в соответствии с требованиями о защите информации; г) разработку модели угроз безопасности информации; д) определение требований к подсистеме защиты информации. Модель угроз безопасности информации и (или) техническое задание на создание системы согласуются регулятором и утверждаются должностным лицом органа исполнительной власти, на которое возложены соответствующие полномочия 3
4 ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 11 мая 2017 г. № 555 Старая редакция: 15. Порядок ввода в эксплуатацию федеральных ГИС, которые предназначены для использования при осуществлении государственных функций и (или) предоставления государственных услуг, определяется с учетом требований, установленных постановлением Правительства Российской Федерации от 10 сентября 2009 г. № 723 "О порядке ввода в эксплуатацию отдельных государственных информационных систем" Новая редакция: 15. Ввод системы в эксплуатацию не допускается в следующих случаях: а) невыполнение установленных законодательством Российской Федерации требований о защите информации, включая отсутствие действующего аттестата соответствия требованиям безопасности информации; б) отсутствие в реестре территориального размещения объектов контроля, предусмотренном Правилами осуществления контроля за размещением технических средств информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями, на территории Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. № 675 "О порядке осуществления контроля за соблюдением требований, предусмотренных частью 21 статьи 13 и частью 6 статьи 14 Федерального закона «Об информации, информационных технологиях и о защите информации» , сведений о размещении технических средств информационной системы на территории Российской Федерации; в) невыполнение требований настоящего раздела, выявленных в ходе осуществления контроля в соответствии с Правилами осуществления контроля за соблюдением требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. № 675 "О порядке осуществления контроля за соблюдением требований, предусмотренных частью 21 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации". 4
5 ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 15 июня 2016 г. № 541 О ВНЕСЕНИИ ИЗМЕНЕНИЙ В НЕКОТОРЫЕ АКТЫ ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПО ВОПРОСАМ ЛИЦЕНЗИРОВАНИЯ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ Вступает в силу 18 июня 2017 г.
6 ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 15 июня 2016 г. № 541 Постановлением вносятся изменения в: Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79; Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. № 171. Изменения направлены на повышение лицензионных требований к соискателям лицензий (лицензиатам) на осуществление деятельности по технической защите конфиденциальной информации и по разработке и производству средств защиты конфиденциальной информации (ТЗКИ, разработка и производство СЗКИ). 6
7 ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 15 июня 2016 г. № 541 Лицензионные требования к специалистам на осуществление деятельности по ТЗКИ на примере соискателя лицензии (Юридическое лицо) 7
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 15 июня 2016 г. № 541 8 Работы и услуги, составляющие лицензируемый вид деятельности а)_услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам: в средствах и системах информатизации; в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается; в помещениях со средствами (системами), подлежащими защите; в помещениях, предназначенных для ведения конфиденциальных переговоров; б)_услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации; в)_услуги по мониторингу информационной безопасности средств и систем информатизации; г)_работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по ЗИ: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений; д)_работы и услуги по проектированию в защищенном исполнении: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений; е)_услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств ЗИ, защищенных технических средств обработки информации, технических средств контроля эффективности мер ЗИ, программных (программно-технических) средств ЗИ, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности ЗИ) 8
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 15 февраля 2017 г. N 27 (зарегистрирован в Минюсте России 14 марта 2017 г. N 45933) О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ТРЕБОВАНИЯ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ, УТВЕРЖДЕННЫХ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ от 11 февраля 2013 г. № 17 9
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 15 февраля 2017 г. N 27 (зарегистрирован в Минюсте России 14 марта 2017 г. N 45933) 10 ИЗМЕНЕНИЯ В ПРИКАЗ ФСТЭК РОССИИ от 11 февраля 2013 г. № 17 1. Упразднение четвертого класса государственных информационных систем 2. Применение БДУ и других источников, содержащих сведения об уязвимостях и угрозах безопасности информации (bdu. fstec. ru) 3. Запрет проведения аттестации лицом, осуществлявшим проектирование и (или) внедрение системы защиты информации информационной системы 4. Аттестация инфраструктуры на которой функционирует ИС 5. Определение методов обязательных проверок при проведении аттестационных испытаний 6. Максимальный срок действия аттестата соответствия не может превышать 5 лет 7. Переход на новый порядок применения сертифицированных средств защиты 8. Актуализация состава мер защиты информации и их базовых наборов
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 23 марта 2017 г. N 49 (зарегистрирован в Минюсте России 25 апреля 2017 г. N 46487) О ВНЕСЕНИИ ИЗМЕНЕНИЙ В СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ от 18 февраля 2013 г. N 21, и В ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ И ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ НА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТАХ, ПОТЕНЦИАЛЬНО ОПАСНЫХ ОБЪЕКТАХ, А ТАКЖЕ ОБЪЕКТАХ, ПРЕДСТАВЛЯЮЩИХ ПОВЫШЕННУЮ ОПАСНОСТЬ ДЛЯ ЖИЗНИ И ЗДОРОВЬЯ ЛЮДЕЙ И ДЛЯ ОКРУЖАЮЩЕЙ ПРИРОДНОЙ СРЕДЫ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ от 14 марта 2014 г. N 31 11
12 ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 23 марта 2017 г. N 49 (зарегистрирован в Минюсте России 25 апреля 2017 г. N 46487) Прежняя редакция Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн (пр. ФСТЭК России от 18. 02. 2013 г. № 21, п. 12) Уровень защищенности ИСПДн Система обнаружения вторжений (СОВ) – класс СВТ класс не ниже - не ниже класс Система Межсетевой экран Антивирусной защиты (МЭ) - НДВ в ПО СЗИ - (АВЗ) - класс не ниже уровень не ниже класс не ниже У 1 1 УЗ 2 УЗ 3 УЗ 4 УЗ 1 УЗ ИНТЕРНЕТ 2 УЗ ИНТЕРНЕТ 3 УЗ ИНТЕРНЕТ 4 УЗ ИНТЕРНЕТ 5 5 5 6 У 2 У 3 У 1 У 2 У 3 4 4 - - 4 4 4 - - 4 5 5 - 4 4 5 3 3 - - 3 3 3 - - 4 4 =5 - 3 =5 4 4 - - 4 4 4 - - 4 5 5 Новая редакция класс СВТ Уровень защищенности (УЗ) (не ниже) ИСПДн СЗИ 2 УЗ 5 5 4 5 3 УЗ 5 6 4 УЗ 6 6 1 УЗ уровень НДВ ПО СЗИ (не ниже) 4 4 4 (если Интернет)
13 ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПРИКАЗ от 23 марта 2017 г. N 49 (зарегистрирован в Минюсте России 25 апреля 2017 г. N 46487) Прежняя редакция Требований к обеспечению ЗИ в АСУ производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (приказ ФСТЭК России от 14. 03. 2014 г. № 31, п. 24) Класс АСУ 1 2 3 Класс Система Средства средства СВТ обн. вторж. Антивирусной доверенной контроля - класс (СОВ) – защиты (АВЗ) загрузки - съемных не класс не ниже – класс не носителей ниже класс не ниже информации 4 5 5 МЭ МЭ НДВ в (с Интерн. ) (без ПО СЗИ - класс не Интерн. ) - не ниже класс не ниже 3 4 5 4 4 уровня - Новая редакция Класс СВТ АСУ - класс не ниже 1 5 2 3 Средства защиты информации - класс не ниже НДВ в ПО СЗИ не ниже 4 5 6 4 уровня - В случае использования в АСУ средств ЗИ, сертифицированных по требованиям безопасности информации, указанные средства должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативно правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности)
14 Требования к средствам защиты информации от утечки за счет несанкционированного доступа 14
15 Информационное сообщение по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации от 27 марта 2017 г. № 240/24/1382 С 1 декабря 2016 г. в системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU. 0001. 01 БИ 00 сертификация разработанных и (или) производимых межсетевых экранов осуществляется на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9. Допускается применение межсетевых экранов, сертифицированных на соответствие РД МЭ в информационных (автоматизированных) системах, созданных до вступления в силу соответствующих изменений в приказы ФСТЭК России от 11 февраля 2013 г. № 17, от 18 февраля 2013 г. № 21 и от 14 марта 2014 г. № 31 (при условии наличия действующих сертификатов соответствия требованиям по безопасности информации). Аттестация информационных (автоматизированных) систем после вступления в силу соответствующих изменений в приказы ФСТЭК России от 11 февраля 2013 г. № 17, от 18 февраля 2013 г. № 21 и от 14 марта 2014 г. № 31, возможна только в случае применения в них межсетевых экранов, сертифицированных на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9. Допускается проведение повторной аттестации (после окончания срока действия аттестата соответствия) информационной (автоматизированной) системы, в которой применяются межсетевые экраны, сертифицированные на соответствие требованиям РД МЭ, при условии 15 наличия на них действующих сертификатов соответствия.
Банк данных угроз безопасности информации bdu. fstec. ru 16 16
17 Банк данных угроз безопасности информации bdu. fstec. ru 17
Банк данных угроз безопасности информации bdu. fstec. ru 18 18
19 Поручения Президента Российской Федерации от 21 октября 2015 № Пр2172 Проект Федерального закона О внесении изменений в статью 16 Федерального закона «Об информации, информационных технологиях и о защите информации» № 52657 -7, внесен 13 декабря 2016 года Изменений в приказ ФСТЭК России от 11 февраля 2013 г. № 17 Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах 19
20 Готовы к утверждению в 2017 году: Требования к системам управления базами данных Требования к средствам управления потоками информации В разработке требования: • к средствам идентификации и аутентификации • к средствам управления доступом • к средствам от несанкционированного вывода (ввода) информации (DLP-системам) • к средствам контроля и анализа защищенности • к средствам мониторинга событий безопасности (SIEM) • к средствам защиты среды виртуализации • к базовым системам ввода-вывода (BIOS) 20
21 Спасибо за внимание! Телефон Управления ФСТЭК России по Приволжскому федеральному округу: 8 (831) 439 -68 -76 439 -68 -79 (факс) Адрес Управления: 603104, г. Нижний Новгород, проспект Гагарина, д. 60, корп. 11 Электронная почта Управления: pfo@fstec. ru fstec@mts-nn. ru Сайт ФСТЭК России: www. fstec. ru 21
Скачать презентацию ОБ ИЗМЕНЕНИЯХ ВНЕСЁННЫХ В НОРМАТИВНО-ПРАВОВУЮ БАЗУ ПО ЗАЩИТЕ
3cd31840deeec06e26051b947523c991.ppt