6.31M
Category: lawlaw
Similar presentations:
Нормативные документы в области применения средств криптографической защиты информации
Нормативные документы в области применения средств криптографической защиты информации
Юридические и практические аспекты защиты информации в сфере транспортной безопасности
Юридические и практические аспекты защиты информации в сфере транспортной безопасности
Средства криптографической защиты информации. (Лекция 10)
Средства криптографической защиты информации. (Лекция 10)
Порядок учета средств криптографической защиты информации
Порядок учета средств криптографической защиты информации
Сертификация средств защиты информации
Сертификация средств защиты информации
Сертифицированные решения для построения систем защиты персональных данных и конфиденциальной информации
Сертифицированные решения для построения систем защиты персональных данных и конфиденциальной информации
Основные документы в области информационной безопасности и технической защиты информации
Основные документы в области информационной безопасности и технической защиты информации
Защита персональных данных. Угрозы в области технической защиты информации. Оценка рисков
Защита персональных данных. Угрозы в области технической защиты информации. Оценка рисков
Сертификация средств защиты информации для сведений, составляющих государственную тайну. (Лекция 7)
Сертификация средств защиты информации для сведений, составляющих государственную тайну. (Лекция 7)
Правовые основы защиты информации
Правовые основы защиты информации

Юридические аспекты применения средств криптографической защиты информации

1.

Юридические аспекты
применения средств
криптографической защиты
информации
Подготовила
Кошкош Д.А.
1

2.

ПЛАН.
1.
Что такое СКЗИ?
2.
Как работает?
3.
Список НПА в соответствии
со сферой деятельности.
2

3.

Что такое
СКЗИ?
СКЗИ (средство криптографической защиты информации)
— это программа или устройство, которое шифрует
документы и генерирует электронную подпись (ЭП). Все
операции производятся с помощью ключа электронной
подписи, который невозможно подобрать вручную, так как
он представляет собой сложный набор символов. Тем
самым обеспечивается надежная защита информации.
3

4.

1.Отправитель создает документ
2.При помощи СКЗИ и закрытого ключа ЭП добавляет файл
подписи, зашифровывает документ и объединяет все в файл,
который отправляется получателю
3.Файл передается получателю
Как
работает
СКЗИ?
4.Получатель расшифровывает документ, используя СКЗИ и
закрытый ключ своей электронной подписи
5.Получатель проверяет целостность ЭП, убеждаясь, что в
документ не вносились изменения
4

5.

Список НПА, в которых требуется
использование СКЗИ
Для ряда организаций использование средств
криптографической защиты информации (СКЗИ),
сертифицированных ФСБ России, является
необходимым.
5

6.

Государственные органы
Персональные данные
Энергетика
Здравоохранение
Финансовые организации
Страховые компании
Бюро кредитных историй
Транспорт
КИИ, ГосСОПКА
Центры Мониторинга
Электронное Правительство
Другое
6

7.

Государственные органы
7

8.

Указ
Президента
Российской
Федерации
от 3 апреля
1995 г. №
334
2. Запретить использование государственными
организациями и предприятиями в информационно —
телекоммуникационных системах шифровальных
средств, включая криптографические средства
обеспечения подлинности информации (электронная
подпись), и защищенных технических средств хранения,
обработки и передачи информации, не имеющих
сертификата Федерального агентства
правительственной связи и информации при
Президенте Российской Федерации, а также
размещение государственных заказов на предприятиях,
в организациях, использующих указанные технические и
шифровальные средства, не имеющие сертификата
Федерального агентства правительственной связи и
информации при Президенте Российской Федерации.
*Указ Президента РФ от 11 марта 2003 г. N 308 «О
мерах по совершенствованию государственного
управления в области безопасности Российской
Федерации»:
Функции ФАПСИ переданы ФСБ России
8

9.

Статья 13 «Информационные системы», часть 2.3:
Федеральный
закон №149 «Об
информации,
информационных
технологиях и о
защите
информации»
2.3. Государственные органы, органы местного
самоуправления, государственные и муниципальные
унитарные предприятия, государственные и
муниципальные учреждения при осуществлении
взаимодействия в электронной форме, в том числе с
гражданами (физическими лицами) и организациями,
обязаны обеспечивать возможность осуществления
такого взаимодействия в соответствии с правилами и
принципами, установленными национальными
стандартами Российской Федерации в области
криптографической защиты информации,
утвержденными в соответствии с Федеральным
законом от 29 июня 2015 года N 162-ФЗ «О
стандартизации в Российской Федерации».
Статья 14 «Государственные информационные
системы», часть 8:
8. Технические средства, предназначенные для
обработки информации, содержащейся в
государственных информационных системах, в том
числе программно-технические средства и средства
защиты информации, должны соответствовать
требованиям законодательства Российской Федерации
о техническом регулировании.
9

10.

Приказ
ФСТЭК
России №17
(ГИС)
3. Настоящие Требования
являются обязательными при
обработке информации в
государственных
информационных системах,
функционирующих на
территории Российской
Федерации, а также в
муниципальных
информационных системах,
если иное не установлено
законодательством Российской
Федерации о местном
самоуправлении.
10

11.

11. Для обеспечения
защиты информации,
содержащейся в
информационной системе,
применяются средства
защиты информации,
прошедшие оценку
соответствия в форме
обязательной
сертификации на
соответствие
требованиям по
безопасности
информации в
соответствии со статьей 5
Федерального закона от 27
декабря 2002 г. N 184-ФЗ
«О техническом
регулировании».
15.1. При проектировании системы
защиты информации
информационной системы:
осуществляется выбор средств
защиты информации,
сертифицированных на
соответствие требованиям по
безопасности информации, с
учетом их стоимости,
совместимости с
информационными технологиями и
техническими средствами,
функций безопасности этих
средств и особенностей их
реализации, а также класса
защищенности информационной
системы;
11

12.

26.1. При проектировании вновь создаваемых
или модернизируемых информационных
систем, имеющих доступ к информационнотелекоммуникационной сети «Интернет»,
должны выбираться маршрутизаторы,
сертифицированные на соответствие
требованиям по безопасности информации (в
части реализованных в них функций
безопасности).
12

13.

Состав мер защиты
информации и их базовые
наборы для
соответствующего класса
защищенности
информационной системы
13

14.

Другие…
Информационное сообщение ФСТЭК
№240/22/2637 (Муниципальные
информационные системы)
Федеральный закон №149 «Об
информации, информационных технологиях
и о защите информации» (Муниципальные
информационные системы)
14

15.

Федеральные органы исполнительной власти
(ИС общего пользования)
15

16.

Приказ ФСБ
России,
ФСТЭК
России
№416/489
17.1. В информационных
системах общего пользования
I класса:использование
средств защиты информации
от неправомерных
действий, сертифицированн
ых ФСБ России и (или)
ФСТЭК России с учетом их
компетенции, в том числе
средств криптографической
защиты информации
(электронной цифровой
подписи, при этом средства
электронной цифровой
подписи должны применяться
к публикуемому
информационному
наполнению);
Аналогично для 17.2. В
информационных системах
общего пользования II класса
16

17.

Персональные
данные
17

18.

Приказ ФСБ
России
№378
9. в) использования для
обеспечения требуемого уровня
защищенности персональных
данных при их обработке в
информационной системе СКЗИ
класса КС1 и выше.
Далее выбор конкретного класса в
зависимости от возможностей
атакующего
18

19.

Приказ
ФСТЭК
России №21
19

20.

Единая биометрическая система
20

21.

Пример – актуальные угрозы безопасности при
взаимодействии между структурными
подразделениями организации
Указание
Банка
России
№4859У/01/01/78218
1.2 при сборе биометрических ПДн в государственных
органах, банках и иных организациях, включая сбор
биометрических ПДн и передачу собранных
биометрических ПДн между структурными
подразделениями государственного органа, банка и
иной организации, -угроза нарушения целостности
(подмены, удаления) биометрических ПДн, нарушения
конфиденциальности (компрометации)
биометрических ПДн, нарушения достоверности
биометрических ПДн (внесение фиктивных
биометрических ПДн), в том числе путем реализации
целенаправленных действий с использованием
возможностей, указанных в пункте 11 приложения к
приказу ФСБ России N 378 (в случае применения
средств (систем) защиты информации от
несанкционированного доступа, прошедших оценку
соответствия в форме обязательной сертификации на
соответствие требованиям по безопасности
информации не ниже четвертого класса) и в пункте 12
приложения к приказу ФСБ России N 378 (в случае
неприменения средств (систем) защиты информации
от несанкционированного доступа, прошедших оценку
соответствия в форме обязательной сертификации на
соответствие требованиям по безопасности
информации не ниже четвертого класса);
21

22.

Э
Н
Е
Р
Г
Е
Т
И
К
А
22

23.

Приказ
Министерств
а Энергетики
№1015 от
06.11.2018
14. Для предотвращения угроз
информационной безопасности Систем
Удаленного Мониторинга и Диагностики
(СУМиД) в отношении аппаратной
инфраструктуры СУМиД субъектом
электроэнергетики должна обеспечиваться
безопасность ее функционирования.Для
обеспечения безопасности функционирования
аппаратной инфраструктуры СУМиД субъект
электроэнергетики должен:<…>• применять
средства защиты информации, включая
средства, в которых они реализованы, а также
средства контроля эффективности защиты
информации, сертифицированные в
соответствии с Федеральным законом от
27.12.2002 N 184-ФЗ «О техническом
регулировании«
23

24.

Здравоохранение
24

25.

Приказ
Минздрава
№911н от
24.12.2018
Касается всех медицинских и
фармацевтических организаций (323-ФЗ)9.
Программно-технические средства
информационных систем должны:
а) располагаться на территории Российской
Федерации;
б) соответствовать требованиям,
предусмотренным постановлением
Правительства Российской Федерации от 16
ноября 2015 г. № 1236 «Об установлении
запрета на допуск программного
обеспечения, происходящего из
иностранных государств, для целей
осуществления закупок для обеспечения
государственных и муниципальных нужд»;
в) быть сертифицированными Федеральной
службой безопасности Российской
Федерации и (или) Федеральной службой по
техническому и экспортному контролю в
отношении входящих в их состав средств
защиты информации, включающих
программно-аппаратные средства, средства
антивирусной и криптографической защиты
информации и средства защиты
информации от несанкционированного
доступа, уничтожения, модификации и
блокирования доступа к ней, а также от иных
неправомерных действий в отношении такой
информации (в том числе сведения,
составляющие врачебную тайну);
25

26.

Регламент предоставления услуги подключения к
ЗСПД Министерства Здравоохранения РФ
региональных медицинских организаций
Документ определяет общие положения и правила по
построению процесса подключения региональных
ОУЗ/ФГУ к информационным системам и ресурсам
Единой Государственной информационной системы
здравоохранения Российской Федерации (далее –
ЕГИСЗ), развернутой на инфраструктуре и
вычислительных мощностях федерального центра
обработки данных (далее — ФЦОД) Минздрава России с
применением средств криптографической защиты
передаваемой информации, сертифицированных на
соответствие требованиям ФСБ России к средствам
криптографической защиты информации (далее – СКЗИ)
по классу КС3 и требованиям ФСТЭК России по 3-му
классу к межсетевым экранам (МЭ).
26

27.

Финансовые организации
27

28.

Положение Банка России от 23.12.2020 № 747-П «О
требованиях к защите информации в платежной
системе Банка России»
14.2. Участники СБП и ОПКЦ должны
обеспечивать защиту электронных сообщений
при передаче между участниками СБП и ОПКЦ
посредством:
применения средств защиты информации,
реализующих двухстороннюю аутентификацию
и шифрование информации на уровне
представления или ниже, в соответствии с
эталонной моделью взаимосвязи открытых
систем, определенной в ГОСТ Р ИСО/МЭК
7498-1-99, прошедших процедуру оценки
соответствия требованиям, установленным
федеральным органом исполнительной
власти в области обеспечения безопасности.
28

29.

ГОСТ Р 57580.1-2017 «Безопасность финансовых
(банковских) операций. Защита информации финансовых
организаций. Базовый состав организационных и
технических мер»
Другие…
Положение Банка России от 17.04.2019 N 683-П «Об
установлении обязательных для кредитных организаций
требований к обеспечению защиты информации при
осуществлении банковской деятельности в целях
противодействия осуществлению переводов денежных
средств без согласия клиента»
Положение Банка России от 17.04.2019 № 684-П «Об
установлении обязательных для некредитных
финансовых организаций требований к обеспечению
защиты информации при осуществлении деятельности в
сфере финансовых рынков в целях противодействия
осуществлению незаконных финансовых операций»
29

30.

Страховые компании
30

31.

3. ТРЕБОВАНИЯ К ЗАЩИТЕ
ИНФОРМАЦИИ
«Базовый
стандарт
совершения
страховыми
организациям
и операций на
финансовом
рынке»
3.1. При обеспечении защиты
информации, полученной
страховщиком при осуществлении им
страховой деятельности, включая
обеспечение целостности указанной
информации, ее доступности и
конфиденциальности, защите
персональных данных получателей
финансовых услуг страховщик обязан
соблюдать требования, определенные
законодательством Российской
Федерации, иными нормативноправовыми актами и национальными
стандартами, в том числе:<…>
— ГОСТ Р 57580.1-2017 Национальный
стандарт Российской Федерации.
Безопасность финансовых
(банковских) операций. Защита
информации финансовых организаций.
Базовый состав организационных и
технических мер.
— ГОСТ Р 57580.2 Национальный
стандарт Российской Федерации.
Безопасность финансовых
(банковских) операций. Защита
информации финансовых организаций.
Методика оценки соответствия.
31

32.

Бюро
кредитных
историй
32

33.

Статья 7. Хранение и защита
информации
Федеральный
закон №218
«О кредитных
историях»
2. Бюро кредитных историй
обеспечивает защиту
информации при ее
обработке, хранении и
передаче сертифицирован
ными средствами
защиты в соответствии с
законодательством
Российской Федерации.
33

34.

Т
Р
А
Н
С
П
О
Р
Т
34

35.

Постановление Правительства РФ от 24 июля 2019 г. N 955 «Об
утверждении требований к автоматизированной информационной
системе оформления воздушных перевозок, к базам данных,
входящим в ее состав, к информационно-телекоммуникационной
сети, обеспечивающей работу указанной автоматизированной
информационной системы, к ее оператору, а также мер по защите
информации, содержащейся в ней, и порядка ее
функционирования»
13. Меры по защите информации, содержащейся в автоматизированных
системах, реализуются операторами автоматизированных систем
посредством
обеспечения конфиденциальности и целостности информации,
передаваемой
через общедоступные каналы связи, с применением сертифицированных
средств
криптографической защиты информации.
35

36.

КИИ, ГосСОПКА
36

37.

Приказ ФСБ России № 196 «Об утверждении требований к
средствам, предназначенным для обнаружения,
предупреждения и ликвидации последствий компьютерных
атак и реагирования на компьютерные инциденты»
20. Криптографические средства защиты информации, необходимой субъектам
КИИ при обнаружении, предупреждении и (или) ликвидации последствий
компьютерных атак, должны быть сертифицированы в системе сертификации
средств защиты информации.
37

38.

Другие…
Приказ ФСТЭК России №235 «Об утверждении
Требований к созданию систем безопасности значимых
объектов критической информационной инфраструктуры
Российской Федерации и обеспечению их
функционирования «
Приказ ФСТЭК России №239 «Об утверждении
Требований по обеспечению безопасности значимых
объектов критической информационной инфраструктуры
Российской Федерации»
38

39.

Центры мониторинга
39

40.

Перечень
контрольноизмерительного и
испытательного
оборудования
ФСТЭК России
27. Средства защиты каналов
передачи данных. Должны
обеспечивать
конфиденциальность и
целостность данных,
передаваемых по каналам связи
между информационной
системой, используемой для
управления информационной
безопасностью, и
информационными системами, в
отношении которых
осуществляется
мониторинг. Должны иметь
сертификаты соответствия ФСБ
России
40

41.

Электронное правительство
41

42.

Подключение
к СМЭВ
Приказ Минкомсвязи
России от 23.06.2015 №
210
Приказ Минкомсвязи
России от 09.12.2013
№390
42

43.

Подключение к ФГИС ЕГРН (Единый государственный
реестр недвижимости Росреестра)
Другое
СОГЛАШЕНИЕ о взаимодействии при подключении
Пользователя к веб-сервисам Росреестра и об условиях
пользования сервисами и системами Росреестра
Безопасный город
Единые требования к техническим параметрам сегментов
АПК «Безопасный город» Р 4516п-П4
ГОСТ Р 57144-2016 Фото-видео фиксация контроля ПДД
43
English     Русский Rules