Список НПА, в которых требуется использование СКЗИ
Для ряда организаций использование средств криптографической защиты информации (СКЗИ), сертифицированных ФСБ России, является необходимым. Собрал в одной заметке нормативку с требованиями по отраслям:
Государственные органы
Указ Президента Российской Федерации от 3 апреля 1995 г. № 334
2. Запретить использование государственными организациями и предприятиями в информационно — телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации.
*Указ Президента РФ от 11 марта 2003 г. N 308 «О мерах по совершенствованию государственного управления в области безопасности Российской Федерации»:
Функции ФАПСИ переданы ФСБ России
Федеральный закон №149 «Об информации, информационных технологиях и о защите информации»
Статья 13 «Информационные системы», часть 2.3:
2.3. Государственные органы, органы местного самоуправления, государственные и муниципальные унитарные предприятия, государственные и муниципальные учреждения при осуществлении взаимодействия в электронной форме, в том числе с гражданами (физическими лицами) и организациями, обязаны обеспечивать возможность осуществления такого взаимодействия в соответствии с правилами и принципами, установленными национальными стандартами Российской Федерации в области криптографической защиты информации, утвержденными в соответствии с Федеральным законом от 29 июня 2015 года N 162-ФЗ «О стандартизации в Российской Федерации».
Статья 14 «Государственные информационные системы», часть 8:
8. Технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.
Приказ ФСБ России №524
Для обеспечения защиты информации, содержащейся в ГИС, должны использоваться только СКЗИ, сертифицированные ФСБ России.
Данный приказ вступает в силу с 23 ноября 2023 года.
Приказ ФСТЭК России №17 (ГИС)
3. Настоящие Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении.
<…>
11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании».
15.1. При проектировании системы защиты информации информационной системы:
<…>
осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;
<…>
26.1. При проектировании вновь создаваемых или модернизируемых информационных систем, имеющих доступ к информационно-телекоммуникационной сети «Интернет», должны выбираться маршрутизаторы <2>, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности).
<…>
Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы
УПД.13
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
ЗИС.3
Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи
ЗИС.4
Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)
ЗИС.11
Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов
Информационное сообщение ФСТЭК №240/22/2637 (Муниципальные информационные системы)
4. По вопросу о применении Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, в отношении муниципальных информационных систем.
В соответствии с частью 4 статьи 13 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» требования к государственным информационным системам, установленные указанным Федеральным законом, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении.
Таким образом, Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении (в частности, Федеральным законом от 6 октября 2003 г. N 131-ФЗ «Об общих принципах местного самоуправления в Российской Федерации» и принятыми в соответствии с ним иными нормативными правовыми актами Российской Федерации).
Федеральный закон №149 «Об информации, информационных технологиях и о защите информации» (Муниципальные информационные системы)
Статья 13 «Информационные системы», часть 4:
Установленные настоящим Федеральным законом требования к государственным информационным системам распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении.
Федеральные органы исполнительной власти (ИС общего пользования)
Приказ ФСБ России, ФСТЭК России №416/489
17.1. В информационных системах общего пользования I класса:использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);
Аналогично для 17.2. В информационных системах общего пользования II класса
Персональные данные
Приказ ФСБ России №378
9. в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.
Далее выбор конкретного класса в зависимости от возможностей атакующего
Приказ ФСТЭК России №21
УПД.13
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
ЗИС.3
Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи
ЗИС.4
Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)
ЗИС.11
Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов
Единая биометрическая система
Указание Банка России №4859-У/01/01/782-18
Пример – актуальные угрозы безопасности при взаимодействии между структурными подразделениями организации (п. 11 – КС2, п.12 – КС3)
1.2 при сборе биометрических ПДн в государственных органах, банках и иных организациях, включая сбор биометрических ПДн и передачу собранных биометрических ПДн между структурными подразделениями государственного органа, банка и иной организации, -угроза нарушения целостности (подмены, удаления) биометрических ПДн, нарушения конфиденциальности (компрометации) биометрических ПДн, нарушения достоверности биометрических ПДн (внесение фиктивных биометрических ПДн), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 приложения к приказу ФСБ России N 378 (в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса) и в пункте 12 приложения к приказу ФСБ России N 378 (в случае неприменения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса);
Энергетика
Приказ Министерства Энергетики №1015 от 06.11.2018
14. Для предотвращения угроз информационной безопасности Систем Удаленного Мониторинга и Диагностики (СУМиД) в отношении аппаратной инфраструктуры СУМиД субъектом электроэнергетики должна обеспечиваться безопасность ее функционирования.Для обеспечения безопасности функционирования аппаратной инфраструктуры СУМиД субъект электроэнергетики должен:<…>• применять средства защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности защиты информации, сертифицированные в соответствии с Федеральным законом от 27.12.2002 N 184-ФЗ «О техническом регулировании»
Приказ Министерства Энергетики №1215 от 27.05.2024
Криптографическая защита должна осуществляться с использованием средств криптографической защиты информации, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности*.
* В соответствии с подпунктом 21 пункта 9 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960.
Здравоохранение
Приказ Минздрава №911н от 24.12.2018
Касается всех медицинских и фармацевтических организаций (323-ФЗ)9. Программно-технические средства информационных систем должны:
а) располагаться на территории Российской Федерации;
б) соответствовать требованиям, предусмотренным постановлением Правительства Российской Федерации от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд»;
в) быть сертифицированными Федеральной службой безопасности Российской Федерации и (или) Федеральной службой по техническому и экспортному контролю в отношении входящих в их состав средств защиты информации, включающих программно-аппаратные средства, средства антивирусной и криптографической защиты информации и средства защиты информации от несанкционированного доступа, уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий в отношении такой информации (в том числе сведения, составляющие врачебную тайну);
Данный приказ вступил в силу с 1 января 2020 года.
Регламент предоставления услуги подключения к ЗСПД Министерства Здравоохранения РФ региональных медицинских организаций
Документ определяет общие положения и правила по построению процесса подключения региональных ОУЗ/ФГУ к информационным системам и ресурсам Единой Государственной информационной системы здравоохранения Российской Федерации (далее – ЕГИСЗ), развернутой на инфраструктуре и вычислительных мощностях федерального центра обработки данных (далее — ФЦОД) Минздрава России с применением средств криптографической защиты передаваемой информации, сертифицированных на соответствие требованиям ФСБ России к средствам криптографической защиты информации (далее – СКЗИ) по классу КС3 и требованиям ФСТЭК России по 3-му классу к межсетевым экранам (МЭ).
Финансовые организации
Положение Банка России от 7 декабря 2023 г. № 833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля»
14. Участник платформы должен применять организационные меры и (или) технические средства защиты информации, используемые при обмене электронными сообщениями при осуществлении операций с цифровыми рублями, с соблюдением следующих требований:
14.1. Участник платформы должен обеспечивать защиту электронных сообщений при их передаче между участником платформы и оператором платформы цифрового рубля посредством:
…
использования технологии виртуальных частных сетей между участником платформы и оператором платформы цифрового рубля с использованием СКЗИ не ниже класса КС2, предусмотренного пунктом 11 Состава и содержания организационных и технических мер.
Положение Банка России от 23.12.2020 № 747-П «О требованиях к защите информации в платежной системе Банка России»
14.2. Участники СБП и ОПКЦ должны обеспечивать защиту электронных сообщений при передаче между участниками СБП и ОПКЦ посредством:
применения средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне представления или ниже, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.
Данный пункт вступает в силу с 1 июля 2022 года.
Аналогично для пунктов:
14.3. Участники ССНП (сервиса срочного перевода и сервиса несрочного перевода) должны обеспечивать защиту электронных сообщений при их передаче в Банк России (данный пункт вступает в силу с 1 июля 2022 года)
14.4. ОПКЦ должен обеспечивать защиту электронных сообщений при их передаче в Банк России
ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»
8.3.1 Деятельность в рамках направления «Реализация» выполняется по результатам выполнения направлений «Планирование» и (или) «Совершенствование» (см. 8.2 и 8.5 настоящего стандарта соответственно).В рамках направления «Реализация» финансовая организация обеспечивает:<…>применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия [в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации;
РЗИ.14 Применение СКЗИ, имеющих класс не ниже КС2 * (для УЗ-1)
* — В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.
Подробнее про ГОСТ Р 57580.1-2017
Положение Банка России от 17.04.2019 N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»
(ссылка на ГОСТ Р 57580.1-2017)
3.1. Кредитные организации должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).
Данный пункт вступил в силу с 1 января 2021 года.
Положение Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»
(ссылка на ГОСТ Р 57580.1-2017)
5. Защита информации в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых осуществляется некредитными финансовыми организациями (далее при совместном упоминании — объекты информационной инфраструктуры), должна осуществляться некредитной финансовой организацией в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»
Данный пункт вступает в силу с 1 января 2021 года.
Страховые компании
«Базовый стандарт совершения страховыми организациями операций на финансовом рынке»
(ссылка на ГОСТ Р 57580.1-2017)
3. ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ
3.1. При обеспечении защиты информации, полученной страховщиком при осуществлении им страховой деятельности, включая обеспечение целостности указанной информации, ее доступности и конфиденциальности, защите персональных данных получателей финансовых услуг страховщик обязан соблюдать требования, определенные законодательством Российской Федерации, иными нормативно-правовыми актами и национальными стандартами, в том числе:<…>
— ГОСТ Р 57580.1-2017 Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер.
— ГОСТ Р 57580.2 Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия.
Бюро кредитных историй
Федеральный закон №218 «О кредитных историях»
Статья 7. Хранение и защита информации
2. Бюро кредитных историй обеспечивает защиту информации при ее обработке, хранении и передаче сертифицированными средствами защиты в соответствии с законодательством Российской Федерации.
Транспорт
13. Меры по защите информации, содержащейся в автоматизированных
системах, реализуются операторами автоматизированных систем посредством
обеспечения конфиденциальности и целостности информации, передаваемой
через общедоступные каналы связи, с применением сертифицированных средств
криптографической защиты информации.
Постановление вступило в силу 31 октября 2021 г.
КИИ, ГосСОПКА
20. Криптографические средства защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств защиты информации.
18. Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться сертифицированные на соответствие требованиям по безопасности средства защиты информации или средства, прошедшие оценку соответствия в форме испытаний или приемки в соответствии с Федеральным законом от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании».
Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.
В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.
28. Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.
Средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.
В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.
УПД.13 | Реализация защищенного удаленного доступа |
ЗИС.19 | Защита информации при ее передаче по каналам связи |
ЗИС.20 | Обеспечение доверенных канала, маршрута |
ЗИС.27 | Обеспечение подлинности сетевых соединений |
Центры мониторинга
Перечень контрольно-измерительного и испытательного оборудования ФСТЭК России
27. Средства защиты каналов передачи данных. Должны обеспечивать конфиденциальность и целостность данных, передаваемых по каналам связи между информационной системой, используемой для управления информационной безопасностью, и информационными системами, в отношении которых осуществляется мониторинг. Должны иметь сертификаты соответствия ФСБ России
Загранучреждения
Постановление Правительства РФ от 21 апреля 2010 г. N 266
6. Оценка соответствия проводится в формах обязательной сертификации и государственного контроля (надзора).
Электронное правительство
Подключение к СМЭВ
Приказ Минкомсвязи России от 23.06.2015 № 210
120. Все каналы связи системы взаимодействия, выходящие за пределы контролируемых зонучастников взаимодействия, должны быть защищены с помощью сертифицированных средств криптографической защиты информации, удовлетворяющих установленным требованиям к средствам криптографической защиты информации класса не ниже КСЗ и находящихся в пределах контролируемых зон участников взаимодействия.
121. Доступ к электронным сервисам информационных систем участников взаимодействия должен осуществляться с использованием сертифицированных средств межсетевого экранирования.
Требования к ИС организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие ИС, используемых для предоставления государственных и муниципальных услуг в электронной форме
Приказ Минкомсвязи России от 09.12.2013 №390
При подключении к закрытому контуру инфраструктуры взаимодействия, представляющему собой совокупность информационных систем, технических устройств и каналов связи, используемых для взаимодействия органов и организаций, указанных в пункте 1 Положения об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме, <…>, и доступ к которому предоставляется лицам, прошедшим процедуры идентификации и аутентификации в установленном оператором инфраструктуры взаимодействия порядке, защита каналов связи должна быть осуществлена средствами криптографической защиты, сертифицированными по классу не ниже КС3.
Другое
Подключение к ФГИС ЕГРН (Единый государственный реестр недвижимости Росреестра)
В рамках настоящего Соглашения Сторонами обеспечивается:
<…>
3.1.2. Со стороны Пользователя.
Пользователем обеспечивается программно-аппаратный комплекс, необходимый для подключения к защищенному каналу связи, совместимый с ПАК СКЗИ Росреестра, соответствующий требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, требованиям ФСБ России к средствам криптографической защиты класса КС3, имеющий действующие сертификаты соответствия ФСТЭК России и ФСБ России;
Безопасный город
Единые требования к техническим параметрам сегментов АПК «Безопасный город» Р 4516п-П4
ПРИЛОЖЕНИЕ № 11
ТРЕБОВАНИЯ к обеспечивающим подсистемам КСА ЕЦОР
<…>
Для организации информационного обмена с использованием каналов связи, выходящих за пределы контролируемой зоны, при передаче по таким каналам связи информации, к которой предъявляются требования по обеспечению конфиденциальности, требуется использовать средства криптографической защиты информации, которые в установленном порядке прошли процедуру оценки соответствия требованиям безопасности информации ФСБ России. Криптографическая защита информации, передаваемой по каналам связи, выходящим за пределы контролируемой зоны, должна обеспечиваться с использованием криптографических алгоритмов, утвержденных в качестве национальных стандартов Российской Федерации.
ГОСТ Р 57144-2016 Фото-видео фиксация контроля ПДД
6.5.14 Аппаратно-программное обеспечение технических средств автоматической фотовидеофиксации должно обеспечивать возможность передачи информации по проводным и/или беспроводным защищенным каналам связи, предусмотренным законодательством Российской Федерации.
6.5.15 Вся передаваемая техническими средствами фотовидеофиксации информация должна быть защищена электронной подписью, формируемой по ГОСТ Р 34.10.
Заметка будет пополняться, продолжение следует…