Политика информационной безопасности

Понятие информации ограниченного доступа

В связи с активным развитием новых технологий организации переводят большую часть информации в электронное поле. Некоторые категории данных относятся к строго конфиденциальным, поэтому важно не допустить их утечки. Следует использовать надежные инструменты защиты информации с ограниченным доступом, о которых и пойдет речь в этой статье.


Виды информации, к которой ограничивают доступ

Полный список можно найти в президентском указе №188 Об утверждении перечня сведений конфиденциального характера, датированном 6 марта 1997 года. Там описаны нюансы, касающиеся следующих категорий сведений:

  • Сведения о характеристиках производства, технологические процессы, научно-техническую и кадровую документацию.
  • Сведения об организации деятельности в области обороны, о научных исследованиях на территории Российской Федерации.
  • Информация об электронных информационно-телекоммуникационных системах.

Под защиту информации с ограниченным доступом подпадает сущность изобретений или промышленных образцов. Эти сведения считаются конфиденциальными до момента их официального обнародования.


Правовое поле в вопросах данных ограниченного доступа

Основной документ, определяющий принадлежность данных к той или иной категории — ФЗ №149 Об информации, информационных технологиях и о защите информации, датированный 27.06.2006 г. (редактирован 18.03.2019 года).

Отдельный документ посвящен государственной тайне и защите таких сведений. Это закон РФ №5485-1 от 21.07.1993 года. В законодательных актах также указано, что вопросами классифицирования информации и контролем за соблюдением защитных мер занимается отдельный уполномоченный орган.


Способы защиты информации с ограниченным доступом в корпоративном поле

Некоторые ошибочно полагают, что способы охраны данных внедряют только крупные организации и государственные органы. Однако нет – внутренняя информация любой, даже самой маленькой компании нуждается в защите.

Группы мер по охране конфиденциальных сведений:

  1. Физическая безопасность (офисные помещения, серверные комнаты, контроль доступа).
  2. Логическая безопасность (пароли, шифрование данных, антивирусное программное обеспечение).
  3. Организационные меры (обучение сотрудников, установление правил доступа, контроль исполнения).
Читайте также:  СНиП 30-02-97 Планировка и застройка территорий садоводческих (дачных) объединений граждан, здания и сооружения

Оптимизация комплекса мер по защите информации с ограниченным доступом

Очень важно, чтобы комплекс мероприятий по защите информации с ограниченным доступом своевременно оптимизировался. Например, технические инструменты обеспечения безопасности нуждаются в актуализации, иначе они перестают в полной мере выполнять свои функции.

Кадровая безопасность

Также не следует пренебрегать кадровой безопасностью. При увольнении сотрудников необходимо взять подписку о неразглашении сведений, поменять пароли, изъять пропуски. Действующий персонал тоже нужно проверять на предмет ответственного отношения к конфиденциальным данным. Например, некоторые выводы можно сделать, анализируя поведение человека. Если сотрудник часто опаздывает, в рабочее время посещает личные соцсети или забывает выходить из аккаунтов на сервисах, то скорее всего ему присуща низкая степень ответственности. А значит, такой человек может даже непреднамеренно стать источником утечки важных сведений.

Роль специальных служб

Контролем всех этих вопросов информационной безопасности в организациях занимаются специальные службы. Они отслеживают эффективность технических средств, работают с персоналом, бросают силы на предотвращение и расследование инцидентов кибератак.

Solar inRights – надежный помощник

Одних усилий службы безопасности организации будет недостаточно для обеспечения сохранности конфиденциальной информации. Поэтому нужен эффективный инструмент контроля — Solar inRights. С помощью этой IGA-системы можно управлять правами доступа, собирать информацию для расследования киберпреступлений, выстраивать регламент обращения с данными внутри компании.

Система позволяет оптимизировать и автоматизировать процесс работы с информационной инфраструктурой. Ее функционал легко подстраивается под нужды конкретной организации, быстро внедряется и постоянно обновляется.

Подведем итог — информация с ограниченным доступом нуждается в усиленной защите от утечки. Важно ввести регламент для сотрудников, отслеживать все действия с данными, внедрить надежные технические инструменты управления. Один из них — Solar inRights, который подойдет для организаций любой специфики.

Совместимость продуктов ESMART® и КриптоАРМ ГОСТ 3

По результатам совместного тестирования продукции команда ESMART® и компания Цифровые технологии сообщают о полной совместимости продукта программных средств электронной подписи и шифрования файлов КриптоАРМ ГОСТ 3 с электронными ключевыми носителями ESMART® Token 192К и ESMART® Token ГОСТ.

Приложение КриптоАРМ ГОСТ 3 предназначено для удобного подписания документов электронной подписью. При этом ключи электронной подписи рекомендуется хранить отдельно от рабочего места. Таким образом, сертифицированные носители ESMART® Token 192К и ESMART® Token ГОСТ позволяют обеспечить максимально высокий уровень безопасности ключей электронной подписи.

КриптоАРМ ГОСТ версии 3

КриптоАРМ ГОСТ версии 3 – это российская программа, сочетающая в себе функции почтового клиента и программы для подписания и шифрования информации. КриптоАРМ ГОСТ замещает такие почтовые клиенты, как MS Outlook, The Bat и др. и может использоваться в качестве клиента для почтовых серверов МойОфис Почта, Р7-Офис, Communigate PRO, Tegu, VK Mail. Работает на операционных системах Windows, macOS, Linux (в том числе российские ОС). Совместим с криптопровайдером СКЗИ КриптоПро CSP.

ESMART® Token 192К

ESMART® Token 192К – новый сертифицированный ключевой носитель ESMART®, который более, чем в 2 раза превосходит прошлую версию по объёму памяти, доступной для пользователя. Этот USB-токен в металлическом корпусе органично объединяет эргономичный дизайн и высокие стандарты безопасности. Продукт создан для строгой многофакторной аутентификации пользователей в корпоративных системах, безопасного хранения ключевых контейнеров СКЗИ, профилей, паролей и ключевых сертификатов пользователей. ESMART® Token 192К поддерживается СКЗИ КриптоПро CSP в операционных системах Windows, MacOS, Linux. Рекомендован Госуслугами и ФНС России. Сертифицирован ФСТЭК России (сертификат соответствия ФСТЭК России № 4731).

ESMART® Token ГОСТ

ESMART® Token ГОСТ – ключевой носитель на базе отечественной микросхемы MIK51 от АО Микрон в эргономичном металлическом корпусе для генерации ключей, формирования и проверки электронной подписи и строгой многофакторной аутентификации.

Криптография

Криптография — это целая наука, которая изучает средства защиты информации, сокрытие данных от посторонних лиц. А криптографическая защита информации обладает высокой популярностью, в ней используются средства шифрования данных и сложные алгоритмы кодирования. Их ещё называют СКЗИ — видов таких средств существует много, мы расскажем о самых популярных в мире методах, которые помогают обеспечить информационную безопасность и защитить данные от взлома или атаки.

Виды защиты информации

Согласно ГОСТ Р 50922-2006 существует несколько видов защиты информации. Подробнее рассмотрим криптографическую защиту информации. Кстати, использование таких средств считается самым безопасным — данные подвергают дополнительной обработке, в ходе которой они не меняются. Вы знали, что при покупке криптовалюты также работает система криптографической защиты данных? Если вы давно хотели погрузиться в тематику криптовалют, но всегда откладывали это — сейчас самое время. Лучшие курс по криптовалюте с сайта turortop.

image

Криптография и криптоанализ

Криптография – наука о защите данных от несанкционированного доступа и сохранении информации в неприкосновенном виде. Она имеет древние корни и начала своё развитие ещё в Древнем Египте, где впервые упоминаются криптографические системы. С тех пор использовались различные методы шифрования, которые эволюционировали по мере развития технологий.

История криптографии

До XX века широко использовались моноалфавитные и полиалфавитные системы шифрования. С развитием технологий и появлением электричества произошёл скачок в развитии криптографии. Автоматизация передачи информации и использование новых технологий, таких как компьютеры, дали новый импульс к развитию этой науки. Особенно важным этапом в развитии было время войны, когда криптография использовалась для скрытия данных от противников. С появлением компьютеров и программного обеспечения начался современный этап в развитии криптографии.

Криптография и криптоанализ

Криптография занимается шифрованием и дешифрованием данных с целью защиты конфиденциальности и целостности информации. Криптоанализ, с другой стороны, направлен на выявление уязвимостей криптографических средств защиты. Криптологи проводят анализ и оптимизацию шифровальных методов для повышения уровня защиты.

Основные методы шифрования

Существует три основных метода защиты информации с помощью криптографии:

  1. Симметричное шифрование – использует один ключ как для шифрования, так и для дешифрования данных. Этот метод прост в реализации и удобен для шифрования данных в реальном времени или на носителе.

  2. Асимметричное шифрование – включает два ключа: один для шифрования и другой для дешифрования данных. Этот метод сложнее симметричного и подходит для безопасной передачи информации, где один ключ остаётся закрытым, а другой ключ может использовать получатель.

  3. Хэширование – метод, при котором данные преобразуются в хэш-значение фиксированной длины, которое служит цифровым отпечатком данных. Этот метод часто используется для проверки целостности данных.

Криптографические методы и средства защиты информации играют важную роль в обеспечении безопасности данных и конфиденциальности в современном мире. Они используются в широком спектре отраслей, где требуется защита ценной информации.

Политика информационной безопасности

Хэш-функции называют односторонние функции с невозможностью отмены, защищающие данные с помощью соединения блоков. Хеширование — изменение строки, преобразование данных в нужный вид. Это понятие наверняка знакомо тем, кто разбирается в блокчейне. Правильный алгоритм будет генерировать новую информацию для каждого входа. Хэш нередко подходит для хеширования паролей, в электронных сертификатах. Он также считается безопасным, его сложно взломать.

Как работает СКЗИ

Принцип работы средств криптографической защиты информации для обеспечения безопасности персональных и других данных прост. Процесс выглядит так:

Повысить уровень безопасности и сохранности данных помог описанный нами выше асимметричный метод. Два пользователя могут обменяться открытыми ключами и не бояться, что информация будет повреждена, потеряна или разглашена третьим лицам. Ведь есть дополнительный секретный ключ — ещё один этап в системе шифрования.

Политика информационной безопасности

Классы криптографической защиты информации

По степени обеспечения защиты СКЗИ делятся на классы — они отражают и возможность хакеров взломать ключ и получить доступ к данным. Их всего шесть — КС1, КС2, КС3, КВ1, КВ2, КА1.

Начальные классы защиты — КС1, КС2, КС3.

КС1 имеют те средства, которые предположительно можно взломать за пределами зоны, находящейся в сохранности. Считается, что злоумышленники могут найти данные для взлома в открытом доступе.

КС2 похож на первый класс, но здесь в расчёт берут и то, что нарушители закона могут получить доступ к защищённой части данных, потенциально они владеют информацией о технических методах криптографической защиты информации.

КС3 способен бороться с описанными выше атаками, плюсом этот класс должен уметь защищать данные от тех, кто имеет доступ к устройствам и установкам системы защиты.

Описанные классы встречаются чаще всего, но есть и другие — где степень защиты выше, как и уровень безопасности. Например, КВ1 и КВ2 умеют отражать попытки взлома уровня КС3, останавливать атаки разработчиков или оценщиков ПО и ТС, которые потенциально могли исследовать СКЗИ. Класс ещё выше — это КА. Он, естественно, справляется с угрозами уровней КВ и пресекает попытки взлома от лиц, знающих о незадекларированных возможностях системного ПО и технических средств из системы под защитой, и тех, кто уже имел опыт атак на подобные системы.

Для разработки соответствующей классу инфраструктуры нужно использовать определённые технические средства, программное обеспечение и криптографические средства защиты информации. Определение класса защиты производится на основе особенностей данных и предполагаемых нарушителей, которые могут произвести атаку. Подтверждение уровня происходит только после прохождения большого количества проверок и выпуска соответствующих документов. Любые СКЗИ попадают под правовое регулирование.

Правовое регулирование средств криптографической защиты информации в России

Главный регулирующий документ в этом направлении — Федеральный Закон № 149/6/6-622. В нём много информации о пользователях и их действиях. Защиту персональных данных и общедоступных ПД регулирует ФЗ-152.

Деятельность, связанная с предоставлением услуг криптографической защиты информации, должна быть подвержена лицензированию — процесс проходит под контролем ФСБ РФ. Чтобы получить лицензию, нужно соответствовать требования. Например, у компании должно быть разрешение на выполнение работ, связанных со сведениями, составляющими государственную тайну. Или же наличие у сотрудников высшего образования по профилю работы и стажа не менее 5 лет.

Согласно закону к СКЗИ относятся:

Даже государственным структурам нужна лицензия от агентства правительственной связи, чтобы использовать криптографические средства защиты информации для хранения, использования и передачи данных. Что касается некоторые СКЗИ для ИП и юридических лиц — они бывают выведены из под лицензирования и доступны в свободном доступе.

Криптографическая защита информации для бизнеса

Большинство коммерческих организаций работает с данными в формате онлайн — многое хранится в облаке, к которому можно получить доступ из любого места на планете, где есть связь и интернет. Защита информации при помощи криптографии необходима не только крупным компаниям, но и стартапам, например. Шифрование помогает сохранить конфиденциальность, обеспечить безопасность на любом из этапов обработки или распространения данных по разным каналам.

Для этого используются различные виды СКЗИ — аппараты защиты телефонии, ПО для офисного оборудования в целях сохранения важной информации, ТС, которые обрабатывают речь и меняют её на цифровую подачу материала. В работе функционирует и электронная подпись. Она нужна для отчётности в формате онлайн, участия в государственных торгах, подписания документов. В нашей стране криптографию в целом применяют даже в государственных структурах — за столько лет система защиты информации успела пройти множество испытаний и зарекомендовать себя в качестве эффективной.

И снова здравствуй, дорогой читатель. В предыдущем материале мы в общих чертах рассмотрели сложности обеспечения информационной безопасности в финансовых организациях, посетовали на большое количество регулирующей документации и немного посмеялись с мемасиков. Но делу время, а потехе час. Необходимо всё-таки разобраться с тем, что с этим делать и кто, как обычно, виноват.

И чтобы представителям некредитных финансовых организаций было легче дойти до понимания того, с чего стоит начать свой путь по осуществлению защиты информации (ну и, разумеется, побыстрее выполнить требования регуляторов), в этой статье рассмотрю вопрос обеспечения защиты информации, и как выполнять требования 757-П и всех вытекающих из него дополнительных требований.

О чем 757-П и кому оно нужно

Положение № 757-П вышло на замену Положения № 684-П (press F) и является более подробной его версией (по сути, в нем раскрыто больше подробностей и моментов).

В основном 757-П:

При этом требования не распространяются на лиц, осуществляющих актуарную деятельность.

Какую информацию нужно защищать по 757-П

НФО, чтобы предотвратить осуществление незаконных финансовых операций при работе в сфере финансовых рынков, (ч. 1 ст. 761 ФЗ от 10 июля 2002 года № 86-ФЗ “О Центральном банке Российской Федерации)”, должны осуществлять защиту информации:

Если защищаемая информация содержит персональные данные, то нужно применять меры по обеспечению безопасности персональных данных при их обработке (статья 19 152-ФЗ «О персональных данных»).

На кого распространяется 757-П

Как это водится издревле, если Банк России принял какой-то документ и в нём есть требования к широкому типу организаций, то выполнять так или иначе обяжут всех. 757-П исключением не стал: все НФО должны выполнять пункты 1.2-1.3 757-П. В этих пунктах обозначены требования по защите информации при работе с криптографическим средствами защиты информации (далее – СКЗИ).

В общем-то мероприятия по организации работы с СКЗИ ничем не отличаются от тех же мероприятий в кредитных организациях. Объём данных работ обычно значительный и в случае отсутствия специалистов по данному направлению в НФО необходимо привлекать их со стороны. Это ускорит процесс внедрения и даст возможность повысить собственные компетенции (наблюдай, как делают другие, запоминай, повторяй)

НФО по классификации 757-П

НФО, которые должны обеспечивать усиленный уровень защиты информации по ГОСТ Р 57580.1:

Данная группа НФО должна обеспечивать выполнение самого большого объёма требований:

НФО, которые должны обеспечивать стандартный уровень защиты информации по ГОСТ Р 57580.1:

Это самая большая группа НФО, своего рода крепкие середнички по необходимости выполнения требований. С их списком можно ознакомиться в пункте 1.4.3. 757-П.

НФО, которые должны обеспечивать минимальный уровень защиты информации по ГОСТ Р 57580.1:

Когда тебе нужно обеспечивать только минимальный уровень

Это организации, которые почти вытащили «золотой билет» (почему почти, увидите в следующем разделе. Такие НФО перечислены в пункте 1.4.4.757-П.

Помните, что если вы реализуете усиленный и стандартный уровни защиты информации? то вы должны осуществлять оценку соответствия ее уровня с привлечением сторонних организаций, имеющих лицензию на проведение данного типа работ и услуг.

Что делать, если не нашли себя?

Можете немного порадоваться. Это значит, что ваша организация относится к отдельной группе НФО, для которой 757-П является обязательным, но при этом она не подпадает под усиленный, стандартный или минимальный уровень защиты по ГОСТ Р 57580.1-2017.

К таковым относятся:

Но сильно радоваться не спешите. Таким НФО всё равно нужно выполнять требования пунктов 1.2-1.3 и желательной пункта 1.4.1 (в части ежегодного определения уровня) и пункта 1.8 (в части самостоятельного определения необходимости сертификации и оценки соответствия прикладного ПО). При этом требования проводить внешнюю оценку соответствия (аудит) по требованиям ГОСТ Р 57580.1 для таких НФО нет, как и внутреннюю. Да и вообще требования соответствовать требованиям ГОСТ Р 57580.1 для таких организаций нет, но так как в данном документе уже собраны меры, которые позволят выстроить систему защиты информации хотя бы на минимальном уровне, то почему бы не использовать.

Далее представлю порядок действий, который будет актуален для всех типов НФО. Просто выполняйте эти упражнения действия и спина болеть не будет проверки Банка России не будут вам страшны.

Данное упражнение выполняют все НФО. Определить обязательные требования по ЗИ, которые распространяются на выявленные категории данных.

(это может быть инструкция на сайте, всплывающее уведомление в приложении, памятка при личном посещении и т. д.). Также для всех будет полезно.

(закон об электронной подписи, 66 приказ ФСБ России и т. д.). Если нет своих ресурсов, лучше привлечь подрядчика. Это вообще обязательное упражнение, чтобы голова не болела от предписаний регуляторов.

По окончанию ее проведения составляем акт, в котором отражаем наш уровень и подсвечиваем моменты, которые необходимо доработать (желательно, конечно, после этого составить план устранения выявленных проблем со сроками, ответственными за реализацию и т. д.). Стандартный, усиленный и минимальный – встать в строй и выполнять. Те НФО, которые без уровня – желательно (но по какому уровню необходимо решить самим исходя из модели угроз и вашим возможностям, как финансовым, так и в плане компетенций. Де -юре можете ничего не делать по ГОСТ Р 57580.1 и руководствоваться другими регулирующими документами, например мерами по защите ПДн).

(ОУД 4, ГОСТ Р ИСО/МЭК 15408-3-2013). Стандартный, усиленный – не отлынивайте. Минимальный и без уровня – по желанию и необходимости.

Если посмотреть 757-П, то для НФО, реализующих усиленный и стандартный уровень защиты информации, необходимо для осуществления финансовых операций использовать прикладное ПО, автоматизированные системы и клиентские приложения, прошедшие сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия не ниже, чем ОУД4, в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013.

Если говорить простыми словами:

Это тот случай, когда вам захотелось подтвердить безопасность своего ПО, написанного тремя землекопами на аутсорсе, и у вас есть лишние деньги. Но в пределах настоящей статьи не будем рассматривать тему сертификации и оценки соответствия более подробно, так как это материал для отдельной статьи.

Самое главное: НФО, реализующие любой уровень защиты информации (усиленный, стандартный, минимальный), всё равно должны доводить до своих клиентов рекомендации по защите информации от воздействия программных кодов, приводящего к нарушению штатного функционирования средства вычислительной техники, в целях противодействия незаконным финансовым операциям.

Шаги по приведению в соответствие

Как выполнить требования 757-П по усиленному, стандартному и минимальному уровню защиты информации?

По моему опыту, можно сделать так:

Главное нужно помнить, что организация, которая приводит в соответствие, и организация, которая делает оценку соответствия, – это две разных организации с лицензиями на деятельность (требование ГОСТ Р 57580.2, в лицензии данных должны быть пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

Первый проект можно разделить на несколько этапов:

Здесь надо выявить ИС, объекты/субъекты доступа, информационные ресурсы и информацию, которые надо защищать в соответствии с требованиями 757-П и ГОСТ Р 57580.1-2017.

Определяемся, к какому типу относится НФО и какой уровень соответствия необходимо реализовывать. С этим могут помочь разделы выше. Далее проводим предварительную оценку соответствия, выявляем недостатки.

Формируем план устранения недостатков с ответственными и сроками выполнения. Тут всё зависит от уровня, которому нужно соответствовать. Если уровень минимальный, то большинство мер ГОСТ Р 57580.1 -2017 и требований 757-П можно закрыть бумажной безопасностью и выстраиванием правильных бизнес-процессов. Если уровень стандартный или усиленный, то придётся попотеть и составить дорожную карту по внедрению СрЗИ, криптографии, написанию ОРД и т. д. (если этого всего нет – или есть, но частично).

На данном этапе реализуем то, что запланировали в предыдущем пункте. Минимально должны быть разработаны и внедрены следующие документы:

а. Политика ИБ;

б. Положение по антивирусной защите;

в. Положение по криптографической защите;

г. Положение по защите сети Интернет;

д. Положение по управлению и реагированию на инциденты ИБ;

е. Положение по защите персональных данных;

ж. И т. д. Точный перечень документов определяется по результатам Этапа «Проведение предварительной оценки инфраструктуры НФО на соответствие 757-П и ГОСТ Р 57580.1-2017».

Также нужно внедрить технические меры по защите информации, которые бы закрывали обнаруженные на этапе предварительной оценки недостатки.

Второй проект включает в себя этапы:

По результатам проведенных работ оформляется отчет в соответствии с п. 8 ГОСТ Р 57580.2-2018. Предоставленный отчет может быть предъявлен Банку России. И вот по окончанию работ первого и второго проектов, описанных выше, ваша организация может смело заявлять, что выполнила все требования регулятора в части выполнения требований 757-П и ГОСТ Р 57580.1-2017.

Вместо вывода

Как читатель уже заметил, статья не претендует на полное описание всех процессов защиты информации, которые нужно осуществить для того, чтобы НФО соответствовала 757-П и ГОСТ Р 57580.1-2017, но описывает общие моменты – чтобы знать, с чего начать свою работу и в каком направлении двигаться.

Также мы не рассматривали здесь тему управления рисками реализации информационных угроз, так как это тема для отдельной статьи. Всё, что вы прочитали, носит ознакомительно-развлекательный характер и мнение автора может не совпадать с вашим. Со своей стороны продолжу популяризировать темы защиты информации финансовых организаций при помощи мемов и более простого изложения бюрократического языка документации регуляторов.

Получить консультациюпо продукту Solar Dozor

Защите информации уделяется огромное внимание в российском законодательстве. В частности, этому посвящены 149-ФЗ, 152-ФЗ, 98-ФЗ, 68-ФЗ, 187-ФЗ. Кража информации и ее нецелевое использование – огромная проблема информационной безопасности, которая несет множественные риски как для организаций, так и обычных граждан, чьи данные эти организации обрабатывают.

Одним из важнейших нормативных актов, затрагивающих вопросы безопасности данных, является ГОСТ Р 50922-2006 о защите информации.

Политика информационной безопасности

Ключевые положения, тезисы ГОСТ Р 50922-2006

В стандарте изложены базовые термины и понятия, которыми оперируют при создании систем защиты информации и проведении мероприятий по информационной безопасности. Ключевыми понятиями в нем являются:

Где и кем используется ГОСТ Р 50922-2006?

Стандарт подходит для применения всеми государственными и коммерческими организациям, которые по долгу профессиональной деятельности сталкиваются с конфиденциальными видами данных. Например, ПДн, государственная и коммерческая тайна и другие виды тайн, которые охраняются законодательством РФ. ГОСТ Р 50922-2006 о защите информации нужно рассматривать в качестве дополнения к 149-ФЗ от 27.07.2006 и 98-ФЗ от 29.07.2004. Он реализует нормы стандартизации защиты информации, обозначенные в вышеописанных законах.

Политика информационной безопасности

Как организовать защиту информации в соответствии ГОСТ Р 50922-2006?

Согласно приведенным в стандарте указаниям и рекомендациям для обеспечения надежной информационной защиты необходимо действовать одновременно в нескольких направлениях:

ГОСТ Р 50922-2006 о защите информации демонстрирует широту подходов по обеспечению информационной безопасности. Одним из эффективных способов защиты информации в организации могут стать DLP-системы. Один из таких примеров – Solar Dozor. Система контролирует каналы передачи данных, коммуникации сотрудников, позволяет предотвращать утечки конфиденциальных сведений. Также Solar Dozor помогает проводить расследование инцидентов безопасности по горячим следам.

Май-2021

В мае 2021 г. ФСТЭК России сообщила об изменении процедур аттестации объектов информатизации, обрабатывающих информацию, составляющую государственную тайну. Официально опубликованы изменения в КоАП РФ, вносящие штрафные санкции за нарушение обеспечения безопасности КИИ, и приказы ФСБ России, касающиеся обращения с электронной подписью. Изменены сроки реализации требований, в том числе по защите информации, для систем оформления воздушных перевозок.

Аттестация объектов информатизации

Порядок аттестации вступает в силу с 1 июня 2021 г. и отменяет действие следующих документов при организации и проведении работ по аттестации объектов информатизации, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну:

С целью организации контроля за выполнением работ по аттестации объектов информатизации Порядком аттестации предусмотрено ведение ФСТЭК России единого реестра аттестованных объектов информатизации, а также представление организациями, проводившими аттестацию, материалов с результатами аттестационных испытаний каждого объекта информатизации в территориальные органы ФСТЭК России. В случае установления по результатам экспертизы указанных материалов факта несоответствия аттестованного объекта информатизации требованиям о защите информации действие аттестата соответствия может быть приостановлено до устранения выявленного несоответствия объекта информатизации установленным требованиям.

КоАП и КИИ

Федеральный закон от 26.05.2021 г. No 141-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"3 (далее – Федеральный закон) был официально опубликован 26 мая 2021 г.

Федеральный закон вступил в силу с 6 июня 2021 г., за исключением п.1 ст. 13.12 об ответственности за нарушение требований к созданию систем безопасности значимых объектов КИИ, он вступит в силу с 1 сентября 2021 г. (см. табл. 1).

В рамках Федерального закона предлагается наделить ФСТЭК России и ФСБ России полномочиями по рассмотрению дел об административных правонарушениях.

Краткая сводка статей за нарушение обеспечения безопасности КИИ, вносимых в КоАП РФ, представлена в таблице ниже.

Электронная подпись

На официальном интернет-портале правовой информации в мае 2021 г. были опубликованы приказы ФСБ России, устанавливающие требования к использованию электронной подписи:

Приказ ФСБ России No 154 вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г., регламентирует порядок проверки удостоверяющим центром соответствия ключа электронной подписи (далее – ЭП) ключу проверки ЭП, указанному лицом в заявлении на получение сертификата ключа проверки ЭП. Правила не распространяется на случаи, когда ключевая пара была создана удостоверяющим центром.

Автоматизированные информационные системы оформления воздушных перевозок

Постановлением Правительства РФ от 24 июля 2019 г. No 955 были утверждены требования к автоматизированным информационным системам оформления воздушных перевозок (далее – АИС ОВП), к базам данных, входящим в их состав, к информационно-телекоммуникационным сетям, обеспечивающим работу указанных автоматизированных информационных систем, к их оператору, а также меры по защите информации, содержащейся в них, и порядку их функционирования. Постановление должно было вступить в силу с 31 октября 2021 г., однако ПП РФ No 685 сдвинуло срок до 30 октября 2022 г.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *