Список НПА, в которых требуется использование СКЗИ

Для ряда организаций использование средств криптографической защиты информации (СКЗИ), сертифицированных ФСБ России, является необходимым. Собрал в одной заметке нормативку с требованиями по отраслям:

Государственные органы

Персональные данные

Энергетика

Здравоохранение

Финансовые организации

Страховые компании

Транспорт

КИИ, ГосСОПКА

Центры Мониторинга

Электронное Правительство

Другое


 

Государственные органы

Указ Президента Российской Федерации от 3 апреля 1995 г. № 334

2. Запретить использование государственными организациями и предприятиями в информационно — телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

*Указ Президента РФ от 11 марта 2003 г. N 308 «О мерах по совершенствованию государственного управления в области безопасности Российской Федерации»:
Функции ФАПСИ переданы ФСБ России

Федеральные органы исполнительной власти (ИС общего пользования)

Приказ ФСБ России, ФСТЭК России №416/489

17.1. В информационных системах общего пользования I класса:использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению); 

Аналогично для 17.2. В информационных системах общего пользования II класса


 

Персональные данные

Приказ ФСБ России №378

9. в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.

Далее выбор конкретного класса в зависимости от возможностей атакующего

Единая биометрическая система

Указание Банка России №4859-У/01/01/782-18

Пример – актуальные угрозы безопасности при взаимодействии между структурными подразделениями организации (п. 11 – КС2, п.12 – КС3) 

1.2 при сборе биометрических ПДн в государственных органах, банках и иных организациях, включая сбор биометрических ПДн и передачу собранных биометрических ПДн между структурными подразделениями государственного органа, банка и иной организации,  -угроза нарушения целостности (подмены, удаления) биометрических ПДн, нарушения конфиденциальности (компрометации) биометрических ПДн, нарушения достоверности биометрических ПДн (внесение фиктивных биометрических ПДн), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 приложения к приказу ФСБ России N 378 (в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса) и в пункте 12 приложения к приказу ФСБ России N 378 (в случае неприменения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса); 

Подробнее про ЕБС


 

Энергетика

Приказ Министерства Энергетики №1015 от 06.11.2018 

14. Для предотвращения угроз информационной безопасности Систем Удаленного Мониторинга и Диагностики (СУМиД) в отношении аппаратной инфраструктуры СУМиД субъектом электроэнергетики должна обеспечиваться безопасность ее функционирования.Для обеспечения безопасности функционирования аппаратной инфраструктуры СУМиД субъект электроэнергетики должен:<…>• применять средства защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности защиты информации, сертифицированные в соответствии с Федеральным законом от 27.12.2002 N 184-ФЗ «О техническом регулировании« 


 

Здравоохранение

Приказ Минздрава №911н от 24.12.2018

Касается всех медицинских и фармацевтических организаций (323-ФЗ)9. Программно-технические средства информационных систем должны:
а) располагаться на территории Российской Федерации;
б) соответствовать требованиям, предусмотренным постановлением Правительства Российской Федерации от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд»;
в) быть сертифицированными Федеральной службой безопасности Российской Федерации и (или) Федеральной службой по техническому и экспортному контролю в отношении входящих в их состав средств защиты информации, включающих программно-аппаратные средства, средства антивирусной и криптографической защиты информации и средства защиты информации от несанкционированного доступа, уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий в отношении такой информации (в том числе сведения, составляющие врачебную тайну);

Данный приказ вступает в силу с 1 января 2020 года.

Регламент предоставления услуги подключения к ЗСПД Министерства Здравоохранения РФ региональных медицинских организаций

 Документ определяет общие положения и правила по построению процесса подключения региональных ОУЗ/ФГУ к информационным системам и ресурсам Единой Государственной информационной системы здравоохранения Российской Федерации (далее – ЕГИСЗ), развернутой на инфраструктуре и вычислительных мощностях федерального центра обработки данных (далее — ФЦОД) Минздрава России с применением средств криптографической защиты передаваемой информации, сертифицированных на соответствие требованиям ФСБ России к средствам криптографической защиты информации (далее – СКЗИ) по классу КС3 и требованиям ФСТЭК России по 3-му классу к межсетевым экранам (МЭ).


 

Финансовые организации

Положение Банка России от 09.01.2019 № 672-П «О требованиях к защите информации в платежной системе Банка России»

 14.2. Участники СБП (сервиса быстрых платежей) и ОПКЦ (операционный центр, платежный клиринговый центр) должны обеспечивать защиту электронных сообщений при передаче между участниками СБП и ОПКЦ: применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

Данный пункт вступает в силу с 1 июля 2021 года.

Аналогично для пунктов:

14.3. Участники ССНП (сервиса срочного перевода и сервиса несрочного перевода) должны обеспечивать защиту электронных сообщений при их передаче в Банк России (данный пункт вступает в силу с 1 июля 2021 года)

14.4. ОПКЦ должен обеспечивать защиту электронных сообщений при их передаче в Банк России (данный пункт вступает в силу с 1 июля 2020 года)

ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»

 8.3.1 Деятельность в рамках направления «Реализация» выполняется по результатам выполнения направлений «Планирование» и (или) «Совершенствование» (см. 8.2 и 8.5 настоящего стандарта соответственно).В рамках направления «Реализация» финансовая организация обеспечивает:<…>применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия [в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации; 

РЗИ.14 Применение СКЗИ, имеющих класс не ниже КС2 * (для УЗ-1) 

* — В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.

Подробнее про ГОСТ Р 57580.1-2017

Положение Банка России от 17.04.2019 N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»

(ссылка на ГОСТ Р 57580.1-2017) 

3.1. Кредитные организации должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).

Данный пункт вступает в силу с 1 января 2021 года.

Положение Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» 

(ссылка на ГОСТ Р 57580.1-2017) 

5. Защита информации в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых осуществляется некредитными финансовыми организациями (далее при совместном упоминании — объекты информационной инфраструктуры), должна осуществляться некредитной финансовой организацией в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»

Данный пункт вступает в силу с 1 января 2021 года.


 

Страховые компании

«Базовый стандарт совершения страховыми организациями операций на финансовом рынке»

(ссылка на ГОСТ Р 57580.1-2017) 

3. ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ

3.1. При обеспечении защиты информации, полученной страховщиком при осуществлении им страховой деятельности, включая обеспечение целостности указанной информации, ее доступности и конфиденциальности, защите персональных данных получателей финансовых услуг страховщик обязан соблюдать требования, определенные законодательством Российской Федерации, иными нормативно-правовыми актами и национальными стандартами, в том числе:<…>

— ГОСТ Р 57580.1-2017 Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер.

— ГОСТ Р 57580.2 Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия.


 

Транспорт

Постановление Правительства РФ от 24 июля 2019 г. N 955 «Об утверждении требований к автоматизированной информационной системе оформления воздушных перевозок, к базам данных, входящим в ее состав, к информационно-телекоммуникационной сети, обеспечивающей работу указанной автоматизированной информационной системы, к ее оператору, а также мер по защите информации, содержащейся в ней, и порядка ее функционирования»

13. Меры по защите информации, содержащейся в автоматизированных
системах, реализуются операторами автоматизированных систем посредством
обеспечения конфиденциальности и целостности информации, передаваемой
через общедоступные каналы связи, с применением сертифицированных средств
криптографической защиты информации.

Постановление вступает в силу с 31 октября 2021 г.


 

КИИ, ГосСОПКА

Приказ ФСБ России № 196 «Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» 

20. Криптографические средства защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств защиты информации


 

Центры мониторинга

Перечень контрольно-измерительного и испытательного оборудования ФСТЭК России 

27. Средства защиты каналов передачи данныхДолжны обеспечивать конфиденциальность и целостность данных, передаваемых по каналам связи между информационной системой, используемой для управления информационной безопасностью, и информационными системами, в отношении которых осуществляется мониторинг.Должны иметь сертификаты соответствия ФСБ России


 

Электронное правительство

Подключение к СМЭВ

Приказ Минкомсвязи России от 23.06.2015 № 210 

120. Все каналы связи системы взаимодействия, выходящие за пределы контролируемых зонучастников взаимодействия, должны быть защищены с помощью сертифицированных средств криптографической защиты информации, удовлетворяющих установленным требованиям к средствам криптографической защиты информации класса не ниже КСЗ и находящихся в пределах контролируемых зон участников взаимодействия.

121. Доступ к электронным сервисам информационных систем участников взаимодействия должен осуществляться с использованием сертифицированных средств межсетевого экранирования. 

Требования к ИС организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие ИС, используемых для предоставления государственных и муниципальных услуг в электронной форме

Приказ Минкомсвязи России от 09.12.2013 №390

При подключении к закрытому контуру инфраструктуры взаимодействия, представляющему собой совокупность информационных систем, технических устройств и каналов связи, используемых для взаимодействия органов и организаций, указанных в пункте 1 Положения об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме, <…>, и доступ к которому предоставляется лицам, прошедшим процедуры идентификации и аутентификации в установленном оператором инфраструктуры взаимодействия порядке, защита каналов связи должна быть осуществлена средствами криптографической защиты, сертифицированными по классу не ниже КС3.


 

Другое

Подключение к ФГИС ЕГРН (Единый государственный реестр недвижимости Росреестра)

СОГЛАШЕНИЕ о взаимодействии при подключении Пользователя к веб-сервисам Росреестра и об условиях пользования сервисами и системами Росреестра

В рамках настоящего Соглашения Сторонами обеспечивается:
<…>
3.1.2. Со стороны Пользователя.
Пользователем обеспечивается программно-аппаратный комплекс, необходимый для подключения к защищенному каналу связи, совместимый с ПАК СКЗИ Росреестра, соответствующий требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, требованиям ФСБ России к средствам криптографической защиты класса КС3, имеющий действующие сертификаты соответствия ФСТЭК России и ФСБ России;

Заметка будет пополняться, продолжение следует…

P.S. Реестр сертифицированных СКЗИ доступен  на сайте ФСБ России.

Поделиться:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *