Список НПА, в которых требуется использование СКЗИ - Блог Александра Веселова

Список НПА, в которых требуется использование СКЗИ

Для ряда организаций использование средств криптографической защиты информации (СКЗИ), сертифицированных ФСБ России, является необходимым. Собрал в одной заметке нормативку с требованиями по отраслям:

Государственные органы

Персональные данные

Энергетика

Здравоохранение

Финансовые организации

Страховые компании

Бюро кредитных историй

Транспорт

КИИ, ГосСОПКА

Центры Мониторинга

Загранучреждения

Электронное Правительство

Другое


 

Государственные органы

Указ Президента Российской Федерации от 3 апреля 1995 г. № 334

2. Запретить использование государственными организациями и предприятиями в информационно — телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

*Указ Президента РФ от 11 марта 2003 г. N 308 «О мерах по совершенствованию государственного управления в области безопасности Российской Федерации»:
Функции ФАПСИ переданы ФСБ России

Приказ ФСТЭК России №17 (ГИС)

3. Настоящие Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении.

11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании».

УПД.13

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

ЗИС.3

Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

ЗИС.4

Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)

ЗИС.11

Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов

Информационное сообщение ФСТЭК №240/22/2637 (Муниципальные информационные системы)

4. По вопросу о применении Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, в отношении муниципальных информационных систем.

В соответствии с частью 4 статьи 13 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» требования к государственным информационным системам, установленные указанным Федеральным законом, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении.

Таким образом, Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении (в частности, Федеральным законом от 6 октября 2003 г. N 131-ФЗ «Об общих принципах местного самоуправления в Российской Федерации» и принятыми в соответствии с ним иными нормативными правовыми актами Российской Федерации).

Федеральные органы исполнительной власти (ИС общего пользования)

Приказ ФСБ России, ФСТЭК России №416/489

17.1. В информационных системах общего пользования I класса:использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению); 

Аналогично для 17.2. В информационных системах общего пользования II класса


 

Персональные данные

Приказ ФСБ России №378

9. в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.

Далее выбор конкретного класса в зависимости от возможностей атакующего

Приказ ФСТЭК России №21

УПД.13

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

ЗИС.3

Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

ЗИС.4

Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)

ЗИС.11

Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов

Единая биометрическая система

Указание Банка России №4859-У/01/01/782-18

Пример – актуальные угрозы безопасности при взаимодействии между структурными подразделениями организации (п. 11 – КС2, п.12 – КС3) 

1.2 при сборе биометрических ПДн в государственных органах, банках и иных организациях, включая сбор биометрических ПДн и передачу собранных биометрических ПДн между структурными подразделениями государственного органа, банка и иной организации,  -угроза нарушения целостности (подмены, удаления) биометрических ПДн, нарушения конфиденциальности (компрометации) биометрических ПДн, нарушения достоверности биометрических ПДн (внесение фиктивных биометрических ПДн), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 приложения к приказу ФСБ России N 378 (в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса) и в пункте 12 приложения к приказу ФСБ России N 378 (в случае неприменения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса); 

Подробнее про ЕБС


 

Энергетика

Приказ Министерства Энергетики №1015 от 06.11.2018 

14. Для предотвращения угроз информационной безопасности Систем Удаленного Мониторинга и Диагностики (СУМиД) в отношении аппаратной инфраструктуры СУМиД субъектом электроэнергетики должна обеспечиваться безопасность ее функционирования.Для обеспечения безопасности функционирования аппаратной инфраструктуры СУМиД субъект электроэнергетики должен:<…>• применять средства защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности защиты информации, сертифицированные в соответствии с Федеральным законом от 27.12.2002 N 184-ФЗ «О техническом регулировании« 


 

Здравоохранение

Приказ Минздрава №911н от 24.12.2018

Касается всех медицинских и фармацевтических организаций (323-ФЗ)9. Программно-технические средства информационных систем должны:
а) располагаться на территории Российской Федерации;
б) соответствовать требованиям, предусмотренным постановлением Правительства Российской Федерации от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд»;
в) быть сертифицированными Федеральной службой безопасности Российской Федерации и (или) Федеральной службой по техническому и экспортному контролю в отношении входящих в их состав средств защиты информации, включающих программно-аппаратные средства, средства антивирусной и криптографической защиты информации и средства защиты информации от несанкционированного доступа, уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий в отношении такой информации (в том числе сведения, составляющие врачебную тайну);

Данный приказ вступил в силу с 1 января 2020 года.

Регламент предоставления услуги подключения к ЗСПД Министерства Здравоохранения РФ региональных медицинских организаций

 Документ определяет общие положения и правила по построению процесса подключения региональных ОУЗ/ФГУ к информационным системам и ресурсам Единой Государственной информационной системы здравоохранения Российской Федерации (далее – ЕГИСЗ), развернутой на инфраструктуре и вычислительных мощностях федерального центра обработки данных (далее — ФЦОД) Минздрава России с применением средств криптографической защиты передаваемой информации, сертифицированных на соответствие требованиям ФСБ России к средствам криптографической защиты информации (далее – СКЗИ) по классу КС3 и требованиям ФСТЭК России по 3-му классу к межсетевым экранам (МЭ).


 

Финансовые организации

Положение Банка России от 09.01.2019 № 672-П «О требованиях к защите информации в платежной системе Банка России»

 14.2. Участники СБП (сервиса быстрых платежей) и ОПКЦ (операционный центр, платежный клиринговый центр) должны обеспечивать защиту электронных сообщений при передаче между участниками СБП и ОПКЦ: применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

Данный пункт вступает в силу с 1 июля 2021 года.

Аналогично для пунктов:

14.3. Участники ССНП (сервиса срочного перевода и сервиса несрочного перевода) должны обеспечивать защиту электронных сообщений при их передаче в Банк России (данный пункт вступает в силу с 1 июля 2021 года)

14.4. ОПКЦ должен обеспечивать защиту электронных сообщений при их передаче в Банк России (данный пункт вступает в силу с 1 июля 2020 года)

ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»

 8.3.1 Деятельность в рамках направления «Реализация» выполняется по результатам выполнения направлений «Планирование» и (или) «Совершенствование» (см. 8.2 и 8.5 настоящего стандарта соответственно).В рамках направления «Реализация» финансовая организация обеспечивает:<…>применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия [в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации; 

РЗИ.14 Применение СКЗИ, имеющих класс не ниже КС2 * (для УЗ-1) 

* — В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.

Подробнее про ГОСТ Р 57580.1-2017

Положение Банка России от 17.04.2019 N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»

(ссылка на ГОСТ Р 57580.1-2017) 

3.1. Кредитные организации должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).

Данный пункт вступил в силу с 1 января 2021 года.

Положение Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» 

(ссылка на ГОСТ Р 57580.1-2017) 

5. Защита информации в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых осуществляется некредитными финансовыми организациями (далее при совместном упоминании — объекты информационной инфраструктуры), должна осуществляться некредитной финансовой организацией в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»

Данный пункт вступает в силу с 1 января 2021 года.


 
Страховые компании

«Базовый стандарт совершения страховыми организациями операций на финансовом рынке»

(ссылка на ГОСТ Р 57580.1-2017) 

3. ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ

3.1. При обеспечении защиты информации, полученной страховщиком при осуществлении им страховой деятельности, включая обеспечение целостности указанной информации, ее доступности и конфиденциальности, защите персональных данных получателей финансовых услуг страховщик обязан соблюдать требования, определенные законодательством Российской Федерации, иными нормативно-правовыми актами и национальными стандартами, в том числе:<…>

— ГОСТ Р 57580.1-2017 Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер.

— ГОСТ Р 57580.2 Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия.


 

Бюро кредитных историй

Федеральный закон №218 «О кредитных историях»

Статья 7. Хранение и защита информации

2. Бюро кредитных историй обеспечивает защиту информации при ее обработке, хранении и передаче сертифицированными средствами защиты в соответствии с законодательством Российской Федерации.


 

Транспорт

Постановление Правительства РФ от 24 июля 2019 г. N 955 «Об утверждении требований к автоматизированной информационной системе оформления воздушных перевозок, к базам данных, входящим в ее состав, к информационно-телекоммуникационной сети, обеспечивающей работу указанной автоматизированной информационной системы, к ее оператору, а также мер по защите информации, содержащейся в ней, и порядка ее функционирования»

13. Меры по защите информации, содержащейся в автоматизированных
системах, реализуются операторами автоматизированных систем посредством
обеспечения конфиденциальности и целостности информации, передаваемой
через общедоступные каналы связи, с применением сертифицированных средств
криптографической защиты информации.

Постановление вступает в силу с 31 октября 2021 г.


 

КИИ, ГосСОПКА

Приказ ФСБ России № 196 «Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» 

20. Криптографические средства защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств защиты информации

Приказ ФСТЭК России №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования «

18. Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться сертифицированные на соответствие требованиям по безопасности средства защиты информации или средства, прошедшие оценку соответствия в форме испытаний или приемки в соответствии с Федеральным законом от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании».

Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.

Приказ ФСТЭК России №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»

28. Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.

Средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.

УПД.13Реализация защищенного удаленного доступа
ЗИС.19Защита информации при ее передаче по каналам связи
ЗИС.20Обеспечение доверенных канала, маршрута
ЗИС.27Обеспечение подлинности сетевых соединений

 

Центры мониторинга

Перечень контрольно-измерительного и испытательного оборудования ФСТЭК России 

27. Средства защиты каналов передачи данных. Должны обеспечивать конфиденциальность и целостность данных, передаваемых по каналам связи между информационной системой, используемой для управления информационной безопасностью, и информационными системами, в отношении которых осуществляется мониторинг. Должны иметь сертификаты соответствия ФСБ России


 

Загранучреждения

Постановление Правительства РФ от 21 апреля 2010 г. N 266

6. Оценка соответствия проводится в формах обязательной сертификации и государственного контроля (надзора).


 

Электронное правительство

Подключение к СМЭВ

Приказ Минкомсвязи России от 23.06.2015 № 210 

120. Все каналы связи системы взаимодействия, выходящие за пределы контролируемых зонучастников взаимодействия, должны быть защищены с помощью сертифицированных средств криптографической защиты информации, удовлетворяющих установленным требованиям к средствам криптографической защиты информации класса не ниже КСЗ и находящихся в пределах контролируемых зон участников взаимодействия.

121. Доступ к электронным сервисам информационных систем участников взаимодействия должен осуществляться с использованием сертифицированных средств межсетевого экранирования. 

Требования к ИС организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие ИС, используемых для предоставления государственных и муниципальных услуг в электронной форме

Приказ Минкомсвязи России от 09.12.2013 №390

При подключении к закрытому контуру инфраструктуры взаимодействия, представляющему собой совокупность информационных систем, технических устройств и каналов связи, используемых для взаимодействия органов и организаций, указанных в пункте 1 Положения об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме, <…>, и доступ к которому предоставляется лицам, прошедшим процедуры идентификации и аутентификации в установленном оператором инфраструктуры взаимодействия порядке, защита каналов связи должна быть осуществлена средствами криптографической защиты, сертифицированными по классу не ниже КС3.


 

Другое

Подключение к ФГИС ЕГРН (Единый государственный реестр недвижимости Росреестра)

СОГЛАШЕНИЕ о взаимодействии при подключении Пользователя к веб-сервисам Росреестра и об условиях пользования сервисами и системами Росреестра

В рамках настоящего Соглашения Сторонами обеспечивается:
<…>
3.1.2. Со стороны Пользователя.
Пользователем обеспечивается программно-аппаратный комплекс, необходимый для подключения к защищенному каналу связи, совместимый с ПАК СКЗИ Росреестра, соответствующий требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, требованиям ФСБ России к средствам криптографической защиты класса КС3, имеющий действующие сертификаты соответствия ФСТЭК России и ФСБ России;

Безопасный город

Единые требования к техническим параметрам сегментов АПК «Безопасный город» Р 4516п-П4

ПРИЛОЖЕНИЕ № 11
ТРЕБОВАНИЯ к обеспечивающим подсистемам КСА ЕЦОР

<…>
Для организации информационного обмена с использованием каналов связи, выходящих за пределы контролируемой зоны, при передаче по таким каналам связи информации, к которой предъявляются требования по обеспечению конфиденциальности, требуется использовать средства криптографической защиты информации, которые в установленном порядке прошли процедуру оценки соответствия требованиям безопасности информации ФСБ России. Криптографическая защита информации, передаваемой по каналам связи, выходящим за пределы контролируемой зоны, должна обеспечиваться с использованием криптографических алгоритмов, утвержденных в качестве национальных стандартов Российской Федерации.

Заметка будет пополняться, продолжение следует…

P.S. Реестр сертифицированных СКЗИ

Поделиться:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *