Нормативная база, российские и международные стандарты по информационной безопасности

1.

Нормативная база,
российские и международные стандарты
по информационной безопасности
Родичев Юрий Андреевич
Доцент кафедры БИС СамГУ

2.

Учебный план:
Лекции – 32 часа Практика – 32 часа Контроль:
Тесты
Экзамен
Литература:
1. Родичев Ю.А. Информационная безопасность: нормативно-правовые
аспекты. Учебное пособие. – С.Петербург, «Питер», 2008.- 272с.
2. Галатенко В.А. Стандарты информационной безопасности: курс лекций :
уч. пособие / Интернет-Университет Информационных Технологий, 2006.
3. Родичев Ю.А. Компьютерные сети. Нормативно-правовые аспекты
информационной безопасности. Часть 1. Учеб. пособие для вузов. – Самара:
изд-во «Универс-групп», 2007. – 344 с.
4. Курило А.П., и др. Основы управления информационной безопасностью.
Учебное пособие для вузов. – 2-е изд., испр. – М.: Горячая линия-Телеком,
2016. – 244 с.6 ил. – Серия «Вопросы управления ИБ. Выпуск 1.»
5. Моисеев А.И. Информационная безопасность распределённых
информационных систем: учеб. / А.И. Моисеев, Д.Б. Жмуров. – Самара: Изд-во
Самар. гос. аэрокосм. ун-та, 2013. – 180 с.
6. Марков А.С., Цирлов В.Л., Барабанов А.В. Методы оценки несоответствия
средств защиты информации / А.С.Марков, В.Л.Цирлов, А.В.Барабанов; под
ред. А.С.Маркова. - М.: Радио и связь, 2012. 192 с.

3.

7. Родичев Ю.А. Нормативная база и стандарты в области информационной
безопасности. Учебное пособие. СПб.: Питер, 2017 г.-256 с.
8. Родичев Ю.А., Кубанков Ю.А., Симонов П.И. Безопасность
инфокоммуникаций: стандартизация, измерения соответствия и
подготовка кадров. Учебное пособие для вузов / Под ред. Родичева Ю.А. –
М.: Горячая линия – телеком, 2018. – 160 с.: ил.
9. Родичев Ю.А. Информационная безопасность. Национальные стандарты
Российской Федерации. 3-е изд. – СПб.: Питер, 2023 – 384 с.
Электронные ресурсы на сервере Inf (\\ JUPITER4):
tutorial\Teachers\Yury A. Rodichev\нормативная база
Правовая система «Консультант Плюс» Сайты: ФСТЭК, ФСБ, Роскомнадзора.
http://docs.cntd.ru – тексты нормативных документов и стандартов
https://allgosts.ru

4.

Каталог материалов на сервере
«нормативная база»

5.

Каталог учебных материалов и документов на сервере

6.

Подкаталог документов по гостайне на сервере

7.

Подкаталог национальных стандартов РФ на сервере

8.

Организационно-правовые средства ЗИ – часть комплексной системы ЗИ
Препятствие
Физические
Управление
доступом
Аппаратные
Маскировка
информации
Программные:
Регламентация
Принуждение
Побуждение
Средства ОС
Спец.средства
Организационные
Законодательные
Моральноэтические
Организационноправовые
Противодействие вирусам
Технические
Средства
Способы

9.

«Доктрина информационной безопасности Российской Федерации»
Утверждена Указом Президента Российской Федерации от 5 декабря 2016 г. №646
Cредства обеспечения информационной безопасности – правовые,
организационные, технические и другие средства, используемые силами
обеспечения информационной безопасности.
Силы обеспечения информационной безопасности – государственные
органы, а также подразделения и должностные лица государственных
органов, органов местного самоуправления и организаций, уполномоченные
на решение в соответствии с законодательством Российской Федерации
задач по обеспечению информационной безопасности.
Обеспечение информационной безопасности – осуществление
взаимоувязанных правовых, организационных, оперативно-разыскных,
разведывательных, контрразведывательных, научно- технических,
информационно-аналитических, кадровых, экономических и иных мер по
прогнозированию, обнаружению, сдерживанию, предотвращению, отражению
информационных угроз и ликвидации последствий их проявления.

10.

ГОСТ Р 50922 -2006 «Защита информации. Основные термины и определения»
Правовая защита информации – защита информации правовыми методами,
включающая в себя разработку законодательных и нормативных правовых документов
(актов), регулирующих отношения субъектов по защите информации, применение этих
документов (актов), а также надзор и контроль за их исполнением.
Техническая защита информации – защита информации, заключающаяся в
обеспечении некриптографическими методами безопасности информации, подлежащей
защите в соответствии с действующим законодательством, с применением технических,
программных и программно-технических средств.
Физическая защита информации – защита информации путем применения
организационных мероприятий и совокупности средств, создающих препятствия для
проникновения или доступа неуполномоченных физических лиц к объекту защиты.
Криптографическая защита информации – защита информации с помощью ее
криптографического преобразования.
ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной
безопасности в организации. Основные термины и определения
Организационные меры обеспечения информационной безопасности – меры
обеспечения ИБ, предусматривающие установление временных, территориальных,
пространственных, правовых, методических и иных ограничений на условия
использования и режимы работы объекта информатизации.

11.

Иерархия средств защиты информации
Законодательный уровень
Правовое регулирование, лицензирование,
стандартизация, сертификация, нормативное обеспечение,…
Административный уровень
Политика информационной безопасности,
оценка активов и угроз, выделение фин.
средств, кадровое обеспечение,…
Процедурный уровень
Разработка процедур выполнения
различных процессов (резервного копирования, ремонта, управление персоналом,…
Технический уровень
Реализация технических мер защиты
Средства каждого уровня используются на разных этапах жизненного
цикла системы обеспечения ИБ.
Успех в области ИБ может принести только системный подход, при котором
средства защиты разных типов применяются совместно и под
централизованным управлением.

12.

К средствам безопасности законодательного уровня относятся правовое
регулирование, стандартизация, лицензирование, сертификация (оценка
соответствия) и морально-этические нормы, принятые в обществе.
Федеральные законы, нормативно-методические документы и стандарты
регулируют все правоотношения в области обработки и защиты информации,
устанавливают степень конфиденциальности информации, формируют
требования по безопасности, определяют систему контроля и оценки системы
защиты информации.
Средства безопасности административного уровня базируются на политике
безопасности предприятия, которая определяет критически важные ресурсы,
цели и стратегические направления обеспечения ИБ. Политика оформляется в
виде локального нормативного документа.
На основе принятой стратегии разрабатываются конкретные планы обеспечения
ИБ, планируется соответствующий бюджет, формируется кадровый состав, а
также определяются должностные обязанности и зоны ответственности всех
сотрудников служб обеспечения ИБ.

13.

Средства безопасности процедурного уровня решают задачи, поставленные
административным уровнем с использованием средств технического уровня.
Основным средством процедурного уровня является специалист, выполняющий
конкретные действия, направленные на решение конкретных задач обеспечения
ИБ. Порядок выполнения таких действий (процедур) должен быть закреплен в
виде соответствующих инструкций (резервное копирование, антивирусная и
парольная защита , установка ПО, выполнение профилактических работ и т.п.).
К средствам процедурного уровня относится также управление персоналом
(подбор, повышение квалификации,…), организация пропускного режима и т.п.
Средства безопасности технического уровня можно разделить на аппаратные,
программные и аппаратно-программные (средства защиты ОС, антивирусные,
средства контроля доступа в помещения, межсетевые экраны, средства
криптографической защиты и т.п.).
Все средства данного уровня реализуются в соответствии с требованиями
нормативных документов регуляторов с учетом специфики предприятия.

14.

Законодательные или правовые меры в сфере информационной
безопасности направлены на создание в стране законодательной
базы, упорядочивающей и регламентирующей поведение
субъектов и объектов информационных отношений, а также
определяющей ответственность за нарушение установленных
норм.
Работа по созданию нормативной базы предусматривает
разработку новых или корректировку существующих
законов, положений, постановлений и инструкций, а также
создание действенной системы контроля за исполнением
указанных документов.

15.

Информационная сфера - одна из наиболее динамичных и быстро
развивающихся сфер общественных отношений, нуждающихся в
адекватном правовом регулировании.
Появляются новые формы информационных отношений, существование
которых должно быть определено законодательно.
Принятые во второй половине 90-х годов
законодательные акты уже не отвечают
современному состоянию общественных
отношений и реалиям использования
информационных технологий и
информационно-телекоммуникационных
сетей, по отдельным вопросам вступают
в противоречие с более поздними актами,
тормозят развитие информационного
общества.

16.

Составляющие правовой защиты информации Федерального уровня
Обязательные для исполнения требования
1. Законы Российской Федерации
2. Нормативные и методические документы федеральных органов
исполнительной власти
(Указы Президента РФ, постановления правительства, нормативные
документы ФСБ, ФСТЭК, Роскомнадзора
Рекомендации
3. Документы национальной системы стандартизации
(международные, межгосударственные, национальные стандарты,
стандарты организаций и другие документы)

17.

Иерархическая структура
нормативных документов
в области ИБ
Статья 15 Конституции РФ:
«Общепризнанные принципы и нормы
международного права и международные
договоры РФ являются составной частью
ее правовой системы.
Если международным договором РФ
установлены иные правила, чем
предусмотренные законом, то
применяются правила международного
договора».
Статья 79 (2020 г.)
Решения межгосударственных органов,
принятые на основании положений
международных договоров РФ в их
истолковании, противоречащем
Конституции РФ, не подлежат
исполнению в РФ.

18.

Информационные ресурсы,
информация
«О средствах массовой
информации», УК,
Конституция, № 149-ФЗ
Профессиональные тайны:
«Об информации, информационных
технологиях и о защите информации»
(№ 149-ФЗ)
Общедоступная
Ограниченного доступа
«О государственной тайне»
Прочая инф. огр. доступа
«О персональных данных»,
Трудовой Кодекс, УК, КоАП
Содержащая
государственную тайну
Персональные данные
Конституция России, УК ст.137, 152-ФЗ
Особой важности
Личного характера
Совершенно секретная
Связанная с
хозяйственной
деятельностью
О коммерческой тайне», ГК ст.139, УК
Коммерческая
тайна
Секретная
ГК ст.139, Пост. правит. №1233
Для служебного
пользования
Налоговая тайна – «Налоговый
кодекс РФ»
Банковская тайна – №395-1
«О банках и банковской
деятельности»
Врачебная тайна – 2011 №323-ФЗ
"Об основах охраны здоровья
граждан в Российской Федерации"
Адвокатская тайна – №63-ФЗ
"Об адвокатской деятельности
и адвокатуре в РФ"
Тайна связи – № 126-ФЗ "О связи"
Тайна следствия – УПК
Тайна усыновления – Семейный
ГК ч. 4, ФЗ 5351-1, УК
Объекты
авторского права
Гражд.Кодекс ч. 4, УК
Объекты
патентного права
№ 149-ФЗ, Налог. Кодекс, УК
№ 5487-1, № 395-1 и др.
Профессиональная
тайна
кодекс
Аудиторская тайна – №307-ФЗ
"Об аудиторской деятельности"
и др.

19.

Международный уровень
1. «Конвенция, учреждающая Всемирную организацию интеллектуальной
собственности» (Стокгольм, 1967. Вступила в силу для СССР 26.04.1970).
2. «Всемирная конвенция об авторском праве» (Женева, 1952. Пересмотрена
в Париже 1971. Вступила в силу для СССР 27.05.1973).
3. «Бернская конвенция об охране литературных и художественных
произведений в редакции 1971 года». РФ присоединилась 13.03.1995.
4. «Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Страсбург, 1998.
Ратифицирована Законом РФ от 19.12.2005 № 160-ФЗ.
5. «Окинавская Хартия глобального информационного общества»
Окинава. 22 июля 2000 года.
6. Декларация принципов. «Построение информационного общества –
глобальная задача в новом тысячелетии». Всемирная встреча на высшем
уровне по вопросам информационного общества. Женева. 10.12.2003.
7. «Международная конвенция об охране прав исполнителей, изготовителей
фонограмм и вещательных организаций» (Рим, 1961. Вступила в силу для
Российской Федерации 26.05.2003).

20.

Международный уровень
8. «Конвенция об охране интересов производителей фонограмм от
незаконного воспроизводства их фонограмм» (Женева, 1971.
Вступила в силу для Российской Федерации 13.03.1995).
9. «Соглашение о сотрудничестве государств – участников СНГ в борьбе
с преступлениями в сфере компьютерной информации» (Минск 1.06.2001)
10. Стратегия коллективной безопасности Организации Договора о коллективной
безопасности на период до 2025 года. 14.10.2016 г.
Конвенция Совета Европы о компьютерных преступлениях.
СДСЕ № 185.
Будапешт. Открыта для подписания 23.11.2001, вступила в силу 1.07.2004.
Не подписана Российской Федерацией

21.

Международный уровень
11. Резолюция Генеральной Ассамблеи ООН от 5 декабря 2018 года № 73/27
Достижения в сфере информатизации и телекоммуникаций в контексте
международной безопасности.
12. Резолюция Генеральной Ассамблеи ООН от 31.12.2003 года № 57/239
Создание глобальной культуры кибербезопасности.
13. Резолюция Генеральной Ассамблеи ООН от 20 января 2020 года № 74/247
Противодействие использованию информационно-коммуникационных
технологий в преступных целях.
14. «Конвенция ООН против киберпреступности; укрепление международного
сотрудничества в борьбе с определенными преступлениями, совершаемыми с
использованием информационно-коммуникационных систем, и в обмене
доказательствами в электронной форме, относящимися к серьезным
преступлениям».
Принята резолюцией № 79/243Генеральной Ассамблеи от 24 декабря 2024 года.

22.

Нормативная база
ЗАРУБЕЖНЫЕ ТЕХНИЧЕСКИЕ НОРМАТИВЫ:
«Оранжевая книга» – гос. стандарт США «Критерии оценивания безопасности
надежных вычислительных систем» (1984г.);
«Европейские критерии безопасности информационных технологий» (1991 г.)
«Федеральные критерии безопасности информационных технологий» США
«Канадские критерии безопасности компьютерных систем» (1993 г.)
«Единые критерии оценивания безопасности информационных технологий»
(Великобритания, Германия, Канада, Нидерланды, США, Франция 1997 г.)
Единый международный стандарт оценивания безопасности информационных
технологий (ISO/IEC 15408: 1999 «Общие критерии»)
ISO/IEC 15408:2002
ISO/IEC 15408:2005 ISO/IEC 15408:2008
«Общие критерии» обобщили содержание и опыт использования «Оранжевой
книги» и ее интерпретаций.

23.

Нормативная база
«Общие критерии» - наиболее полная на сегодняшний день совокупность
требований безопасности информационных технологий.
Соглашение о взаимном признании оценок, полученных на основе Общих
критериев подписали 26 стран (на 31.12.2013 г.).
В рамках Соглашения в 17 странах действуют аккредитованные органы по
сертификации.
Аналоги в России: ГОСТ Р ИСО/МЭК 15408:2002 ГОСТ Р ИСО/МЭК 15408:2005
ГОСТ Р ИСО/МЭК 15408:2008
Руководящие документы Гостехкомиссии РФ (ч. 1, 2,3): «Безопасность информационных
технологий. Критерии оценки безопасности информационных технологий»
(Введены Приказом Гостехкомиссии от 19.06.2002 г. № 187)
Часть 1 РД определяет виды требований безопасности, основные конструкции
представления требований безопасности и содержит основные методические
положения по оценке безопасности ИТ.
Часть 2 РД содержит каталог функциональных требований безопасности.
Часть 3 РД содержит каталог требований доверия к безопасности и оценочные
уровни доверия.

24.

Нормативная база
ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности
информационных технологий. Часть 1. Введение и общая модель
ГОСТ Р ИСО/МЭК 15408-2-2002 Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности ИТ.
Часть 2. Функциональные требования безопасности.
ГОСТ Р ИСО/МЭК 15408-3-2002 Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности ИТ.
Часть 3. Требования доверия к безопасности
Гостехкомиссией России в 2003 году разработан ряд методических документов
в соответствии со стандартом ГОСТ Р ИСО/МЭК 15408:
Руководство по разработке профилей защиты и заданий по безопасности
Положение по разработке профилей защиты и заданий по безопасности
Руководство по формированию семейств профилей защиты
Руководство по регистрации профилей защиты

25.

Нормативная база
Примеры международных стандартов, принятых в России
Последние версии стандартов РФ ГОСТ Р ИСО/МЭК 15408:
ГОСТ Р ИСО/МЭК 15408-1-2012 ГОСТ Р ИСО/МЭК 15408-2-2013
ГОСТ Р ИСО/МЭК 15408-3-2013
Серия национальных стандартов РФ по менеджменту ИБ:
ГОСТ Р ИСО/МЭК 27000-2021
ГОСТ Р ИСО/МЭК 27001-2021
ГОСТ Р ИСО/МЭК 27002-2021 и т.д.
Российские стандарты по безопасности сетей:
ГОСТ Р ИСО /МЭК 27033-1-2021
ГОСТ Р ИСО /МЭК 27033-2-2021
и другие международные стандарты.

26.

Нормативная база
Концептуальные документы РФ
1. «Доктрина информационной безопасности Российской Федерации».
Утверждена Указом Президента РФ от 5.12.2016 № 646.
2. «Руководящий документ. Концепция защиты средств вычислительной
техники и автоматизированных систем от несанкционированного
доступа к информации».
Утвержден решением Гостехкомиссии от 30.03.1992.
3. Стратегия развития информационного общества в Российской
Федерации на период 2017-2030 годы.
Утверждена Указом Президента РФ № 203 от 9.05.2017 г.
4. «Стратегия национальной безопасности Российской Федерации»
Утверждена Указом Президента РФ № 400 от 02.07.2021 г.
(утратила силу Стратегия 2015 г.)
5. «Концепция государственной системы обнаружения, предупреждения
и ликвидации последствий компьютерных атак на информационные
ресурсы Российской Федерации»
Утверждена Президентом РФ 12.12.2014 г. № К 1274.

27.

Нормативная база
Концептуальные документы РФ
6. «Основы государственной политики Российской Федерации в области
международной информационной безопасности». (Утверждены
Президентом РФ 12.04.2021г., № 213).
7. «Концепция формирования и развития культуры информационной
безопасности граждан Российской Федерации»
Утверждена распоряжением Правительства РФ 22 декабря 2022 г. N 4088-р
8. «Концепция внешней политики Российской Федерации».
Утверждена Указом Президента РФ 31 марта 2023 г. № 2
9. «Стратегия развития отрасли связи Российской Федерации на период
до 2035 года». Утв. Пост. Правит. РФ № 3339-р от 24.11.2023 г.
10. «Концепция гос. системы противодействия противоправным деяниям,
совершаемым с использованием информационно-коммуникационных
технологий».
Утверждена распоряжением Правительства РФ от 30.12.2024 г. № 4154-р.

28.

Нормативная база
Концептуальные документы РФ
11. «Национальная стратегия развития искусственного интеллекта на
период до 2030 года».
Утверждена Указом Президента РФ 10 октября 2019 г. № 490
(в редакции Указа Президента РФ № 124 от 15.02.2024 г.).
12. «Кодекс этики в сфере искусственного интеллекта».
Разработан в рамках федерального проекта «Искусственный интеллект»
национальной программы «Цифровая экономика РФ».

29.

Нормативная база
Федеральные Законы
Конституция Российской Федерации
1. «Об информации, информационных технологиях и о защите
информации» от 27.07.2006 № 149-ФЗ.
Утратили силу законы:
«Об информации, информатизации и защите информации» от 20.02.1995
«Об участии в международном информационном обмене» от 4.06.1996
2. «О лицензировании отдельных видов деятельности» № 99-ФЗ
от 4.05.11
Утратил силу № 128-ФЗ от 8.08.2001 «О лицензировании отдельных видов
деятельности»
3. «Об электронной подписи» от 6.04.2011 № 63-ФЗ.
Утратил силу закон «Об электронной цифровой подписи»
от 10.01.2002 № 1-ФЗ
4. «О персональных данных» от 27.07.2006 № 152-ФЗ.

30.

Нормативная база
Федеральные Законы
5. «О техническом регулировании» № 184-ФЗот 27.12.2002
Утратили силу:
от 10.06.1993 г. № 5151-1 «О сертификации продукции и услуг»
от 10.06.1993 г. № 5154-1 «О стандартизации»
6. «О рекламе» № 38-ФЗ от 13.03.2006
7. О государственной тайне № 5485-1 от 21.07.1993
8. О коммерческой тайне № 98-ФЗ от 29.07.2004
9. «О защите детей от информации, причиняющей вред их здоровью и
развитию» № 436-ФЗ от 29.12.2010. Вступил в силу 1.09.2012.
10. «О связи» от 07.07.2003 № 126-ФЗ от 7.07.2003 г.
Утратил силу закон «О связи» от 16.02.1995 г. № 15-ФЗ

31.

Нормативная база
Федеральные Законы
11. «Гражданский кодекс Российской Федерации» часть 4 от 30.11.1994
(ч. 4 вступила в силу с 1 января 2008 года)
Утратили силу законы:
от 23.09.1992 № 3520-1 "О товарных знаках, знаках обслуживания и
наименованиях мест происхождения товаров"
от 23.09.1992 № 3523-1 "О правовой охране программ для электронных
вычислительных машин и баз данных"
от 23.09.1992 № 3526-1 "О правовой охране топологий интегральных
микросхем"
от 9.07.1993 № 5351-1 “Об авторском праве и смежных правах”
от 23.09.1992 № 3517-1 «Патентный закон»
12. «О национальной платежной системе» от 27.06.2011 № 161-ФЗ
13. «О стандартизации в Российской Федерации» от 29.06.2015 № 162-ФЗ

32.

Нормативная база
Федеральные Законы
14. «О безопасности критической информационной инфраструктуры
Российской Федерации» от 26.07.2017 г. № 187-ФЗ
15. «Об осуществлении идентификации и (или) аутентификации
физических лиц с использованием биометрических персональных
данных, о внесении изменений в отдельные законодательные акты
Российской Федерации и признании утратившими силу отдельных
положений законодательных актов Российской Федерации»
от 29 декабря 2022 г. № 572-ФЗ.
16. «Трудовой кодекс Российской Федерации» от 30.12.2001
17. «Уголовный кодекс Российской Федерации» от 13.06.1996
18. «Кодекс РФ об административных правонарушениях» от 30.12.2001

33.

5 Федеральных законов
в области защиты прав
на результаты
интеллектуальной
деятельности
Федеральные законы в
области ИКТ
Гражданский кодекс
часть 4
(2008 г.)
ПРОЕКТ
(149-ФЗ, 152-ФЗ, …)
Информационный
кодекс
(Инфофорум-2018)
КОДИФИКАЦИЯ или СИСТЕМАТИЗАЦИЯ
(Инфофорум-2019)
?!

34.

Структура законодательства в области ИБ (предметные области):
- основополагающее в области обработки и защиты информации;
- о персональных данных;
- о защите интеллектуальной собственности;
- о тайнах;
- о телекоммуникациях (связь и Интернет);
- о техническом регулировании (сертификации);
- о стандартизации;
- криптография;
- о лицензировании деятельности в области ИБ;
- о средствах массовой информации и рекламе;
- о безопасности критической информационной инфраструктуры;
- биометрия.
Нормативная правовая база по каждому направлению состоит из одного или
нескольких базовых федеральных законов и нормативных документов
федеральных органов государственной власти.

35.

Нормативные документы регуляторов в области защиты информационных
(автоматизированных) систем можно разбить на следующие предметные
области:
1. Информационные системы, содержащие сведения, составляющие
государственную тайну
2. Информационные системы персональных данных (ИСПДн)
3. Государственные информационные системы (ГИС)
4. Информационные системы общего пользования (ИСОП)
5. Автоматизированные системы управления технологическими
процессами (АСУ ТП)
6. Объекты критической информационной инфраструктуры (КИИ)

36.

Классификация национальных стандартов в области ИБ:
1. Основополагающие стандарты национальной системы стандартизации и
стандартизации в области защиты информации
2. Стандарты по менеджменту информационной безопасности
3. Стандарты по безопасности информационно-телекоммуникационных систем
4. Оценочные стандарты
5. Стандарты по безопасности в финансовой сфере
6. Стандарты по биометрии
7. Стандарты по криптографии
8. Стандарты по интегрированным системам безопасности
9. Стандарты по защите результатов интеллектуальной деятельности
10. Стандарты в области «Интернета вещей»
Всего более 300 документов!

37.

Рассмотрено более 300 действующих
национальных стандартов РФ в области
ИБ по состоянию на начало 2023 года.
Справочно приведен список из более 100
нормативных документов регуляторов по
защите объектов КИИ, информационных
систем персональных данных, АСУ ТП,
ГИС.
Родичев Ю.А. Информационная безопасность. Национальные стандарты
Российской Федерации. Учебное пособие. 3-е изд. – СПб.: Питер, 2023 – 384 с.

38.

Концептуальные документы
+
Федеральные законы
+
Документы регуляторов
+
Стандарты
==================
Всего более 500 документов!
Не грусти. Рано или поздно все станет
понятно, все станет на свои места и
выстроится в единую красивую схему,
как кружева.
Станет понятно, зачем все было нужно,
потому что все будет правильно.
(Льюис Кэрролл. «Алиса в стране чудес»)

39.

Основополагающие национальные стандарты РФ
(включая основополагающие стандарты по ИБ)
(38 документов)
«-...А уж кто хочет по-настоящему
углубиться в науку, тот должен
добраться до самого дна!
Вот это и называется
Законченное Низшее Образование!
Но, конечно, это не каждому дано!...
— Мне вот так и не удалось по-настоящему углупиться! Не хватило меня на это.
Так я и остался при высшем образовании...»
(Алиса в стране чудес)

40.

Система менеджмента ИБ (СМИБ)
(60 документов)
«План, что и говорить, был превосходный: простой и ясный, лучше не придумать.
Недостаток у него был только один: было совершенно неизвестно, как привести его
в исполнение.»
(Алиса в стране чудес)

41.

Стандарты по защите сетей
(55 документов)
«— Скажите, пожалуйста, куда мне отсюда
идти?
— А куда ты хочешь попасть? — ответил Кот.
— Мне все равно… — сказала Алиса.
— Тогда все равно, куда и идти, — заметил Кот.
— … только бы попасть куда-нибудь, — пояснила
Алиса.
— Куда-нибудь ты обязательно попадешь, —
сказал Кот. —
Нужно только достаточно долго идти»
(Алиса в стране чудес)

42.

ОЦЕНОЧНЫЕ СТАНДАРТЫ
(42 документа)
«Нужно бежать со всех ног, чтобы только
оставаться на месте, а чтобы куда-то
попасть, надо бежать как минимум вдвое
быстрее!»
(Алиса в стране чудес)

43.

Безопасность финансовых операций
(23 документа)
«Подумать только, что из-за какой-то вещи можно так уменьшиться,
что превратиться в ничто.» (Алиса в стране чудес)

44.

Национальные стандарты по биометрии
(55 документов)
«— А где я могу найти кого-нибудь нормального?
— Нигде, — ответил Кот, — нормальных не бывает. Ведь все такие разные и
непохожие. И это, по-моему, нормально.»
(Алиса в стране чудес)

45.

Стандарты в области криптографии.
(14 документов)
«— Я этого письма не писал. Там нет моей подписи.
— Тем хуже! Значит ты что-то худое задумал, иначе подписался бы!»
(Алиса в стране чудес)

46.

Интегрированные системы безопасности.
(36 документов)
«— Как мне попасть в дом? – повторила Алиса громче.
— А стоит ли туда попадать? – сказал Лягушонок. – Вот в чем вопрос.»
(Алиса в стране чудес)

47.

Стандарты по защите результатов интеллектуальной деятельности.
(13 документов)
Я придумал средство против выпадения волос, - сказал Рыцарь.
Ты берешь вертикальную палку и поднимаешь волосы по этой палке вверх, чтобы они
вились вокруг нее, как дикий виноград или плющ, видела? Вот и все. Почему волосы
падают? Потому, что они висят вниз. Наверх вещь ведь упасть не может. Это мое
собственное изобретение! Можешь испробовать его, если хочешь.
Льюис Кэрролл. «Алиса в Зазеркалье»

48.

Нормативная база
ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РФ (2016)
Совокупность официальных взглядов на цели, задачи, принципы и основные
направления обеспечения информационной безопасности РФ.
Обеспечение информационной безопасности:
осуществление взаимоувязанных правовых, организационных,
оперативно-розыскных, разведывательных,
контрразведывательных, научно- технических,
информационно-аналитических, кадровых,
экономических и иных мер
по
прогнозированию, обнаружению, сдерживанию,
предотвращению,
отражению
информационных угроз и ликвидации последствий их проявления
Средства обеспечения информационной безопасности - правовые,
организационные, технические и другие средства, используемые силами
обеспечения информационной безопасности

49.

Нормативная база
ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РФ
Силы обеспечения информационной безопасности - государственные органы,
а также подразделения и должностные лица государственных органов, органов
местного самоуправления и организаций, уполномоченные на решение в
соответствии с законодательством Российской Федерации задач по обеспечению
информационной безопасности
Система обеспечения информационной безопасности - совокупность сил
обеспечения информационной безопасности, осуществляющих
скоординированную и спланированную деятельность, и используемых ими
средств обеспечения информационной безопасности
Информационная инфраструктура РФ - совокупность объектов
информатизации, информационных систем, сайтов в сети "Интернет" и сетей
связи, расположенных на территории РФ, а также на территориях, находящихся
под юрисдикцией РФ или используемых на основании международных
договоров РФ.

50.

Нормативная база
ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РФ
Национальные интересы РФ в информационной сфере:
а) соблюдение конституционных прав и свобод человека и гражданина в области
получения информации и пользования ею.
б) обеспечение устойчивого и бесперебойного функционирования
информационной инфраструктуры
в) развитие в Российской Федерации отрасли информационных технологий и
электронной промышленности
г) доведение до российской и международной общественности достоверной
информации о государственной политике РФ
д) содействие формированию системы международной информационной
безопасности, направленной на противодействие угрозам использования
информационных технологий в целях нарушения стратегической
стабильности, на укрепление равноправного стратегического партнерства в
области информационной безопасности, а также на защиту суверенитета РФ
в информационном пространстве.

51.

ДОКТРИНА ИБ
Угрозы ИБ РФ:
1. Наращивание рядом зарубежных стран возможностей информационнотехнического воздействия на информационную инфраструктуру в военнополитических целях.
2. Увеличение масштабов и ростом скоординированности компьютерных атак на
объекты критической информационной инфраструктуры, усилением
разведывательной деятельности иностранных государств в отношении РФ, а
также нарастанием угроз применения ИТ в целях нанесения ущерба
суверенитету, территориальной целостности, политической и социальной
стабильности РФ.
3. Высокий уровень зависимости отечественной промышленности от зарубежных
ИТ в части, касающейся электронной компонентной базы, программного
обеспечения, вычислительной техники и средств связи.
4. Недостаточная эффективность научных исследований, направленных на
создание перспективных ИТ, низкий уровнем внедрения отечественных
разработок и недостаточное кадровое обеспечение в области ИБ.
5. Стремление отдельных государств использовать технологическое
превосходство для доминирования в информационном пространстве.

52.

ДОКТРИНА ИБ
Стратегические цели ИБ РФ:
1. Защита жизненно важных интересов личности, общества и государства от
внутренних и внешних угроз, связанных с применением информационных
технологий в военно-политических целях.
2. Защита суверенитета, поддержание политической и социальной стабильности,
территориальной целостности РФ, обеспечение основных прав и свобод
человека, а также защита критической информационной инфраструктуры.
3. Сведение к минимально возможному уровню влияния негативных факторов,
обусловленных недостаточным уровнем развития отечественной отрасли
ИТ и электронной промышленности, разработка и производство
конкурентоспособных средств обеспечения ИБ, а также повышение объемов
и качества оказания услуг в области обеспечения ИБ.
4. Поддержка инновационного и ускоренного развития системы обеспечения ИБ,
отрасли ИТ и электронной промышленности, развитие кадрового потенциала
в области обеспечения ИБ.
5. Формирование устойчивой системы неконфликтных межгосударственных
отношений в информационном пространстве, развитие национальной
системы управления российским сегментом сети «Интернет».

53.

ДОКТРИНА ИБ
Организационные основы обеспечения ИБ РФ:
Система обеспечения ИБ безопасности является частью системы обеспечения
национальной безопасности РФ.
Обеспечение ИБ осуществляется на основе сочетания законодательной,
правоприменительной, правоохранительной, судебной, контрольной и других
форм деятельности государственных органов во взаимодействии с органами
местного самоуправления, организациями и гражданами.
Состав системы обеспечения ИБ определяется Президентом РФ.
Организационную основу системы обеспечения ИБ составляют:
Совет Федерации, Государственная Дума, Правительство РФ,
Совет Безопасности РФ, федеральные органы исполнительной власти,
Центральный банк РФ, Военно-промышленная комиссия РФ,
межведомственные органы, органы исполнительной власти субъектов РФ,
органы местного самоуправления, органы судебной власти.

54.

ДОКТРИНА ИБ
Организационные основы обеспечения ИБ РФ:
Участниками системы обеспечения ИБ являются:
- собственники объектов критической информационной инфраструктуры и
организации, эксплуатирующие такие объекты;
- средства массовой информации и массовых коммуникаций;
- организации денежно-кредитной, валютной, банковской сфер;
- операторы связи, операторы информационных систем,;
- организации, осуществляющие деятельность по созданию и эксплуатации
ИС и сетей связи, по разработке, производству и эксплуатации средств
обеспечения ИБ, по оказанию услуг в области обеспечения ИБ;
- организации, осуществляющие образовательную деятельность в области ИБ;
- общественные объединения, иные организации и граждане, которые в
соответствии с законодательством РФ участвуют в решении задач по
обеспечению ИБ.

55.

ДОКТРИНА ИБ
Организационные основы обеспечения ИБ РФ:
Задачи гос. органов в рамках деятельности по обеспечению ИБ:
а) обеспечение защиты прав и законных интересов граждан и организаций в
информационной сфере;
б) оценка состояния ИБ, прогнозирование и обнаружение информационных
угроз, определение приоритетных направлений их предотвращения и
ликвидации последствий их проявления;
в) планирование, осуществление и оценка эффективности комплекса мер по
обеспечению ИБ;
г) организация деятельности и координация взаимодействия сил обеспечения
ИБ, совершенствование их правового, организационного, разведывательного,
контрразведывательного, научно-технического, информационноаналитического, кадрового и экономического обеспечения;
д) выработка и реализация мер государственной поддержки организаций,
осуществляющих деятельность по разработке, производству и эксплуатации
средств обеспечения ИБ, по оказанию услуг в области обеспечения ИБ,
организаций, осуществляющих образовательную деятельность в области ИБ.

56.

Обеспечение устойчивого и бесперебойного функционирования
информационной инфраструктуры, в первую очередь критической
информационной инфраструктуры РФ – один из главных вопросов
обеспечения ИБ.
«Обеспечение защищенности граждан от информационных
угроз, в том числе за счет формирования культуры личной
информационной безопасности»

57.

«Стратегической целью государственной политики в области
повышения культуры ИБ граждан РФ является повышение
общего уровня грамотности по вопросам ИБ граждан РФ».
«Концепция формирования и развития культуры информационной
безопасности граждан Российской Федерации»
Утверждена распоряжением Правительства РФ от 22 декабря 2022 г. N 4088-р

58.

«Концепция формирования и развития культуры информационной
безопасности граждан Российской Федерации»
Ввиду отсутствия в РФ системного подхода к повышению грамотности граждан
по вопросам ИБ особую актуальность принимает вопрос формирования и
развития культуры информационной безопасности.
Культура информационной безопасности - это совокупность
сформированных знаний, умений и навыков по вопросам ИБ,
обеспечивающая безопасное пребывание гражданина РФ в
информационном пространстве.
Культура ИБ затрагивает и профессиональную, и бытовую деятельность
граждан РФ, причем в профессиональной деятельности культура ИБ
неразрывно связана с вопросами корпоративной ИБ, в бытовой - с личной ИБ.
При формировании культуры ИБ особое внимание должно уделяться
сегментированию граждан на различные группы в целях более точного
донесения информации об основных правилах ИБ.

59.

Основные принципы повышения уровня культуры ИБ граждан:
- ответственность государства за соблюдение законных интересов граждан в
информационной сфере;
. . .
-формирование у граждан РФ ответственного отношения к личной ИБ в
цифровом пространстве.
Механизмы реализации повышения уровня культуры ИБ:
-проведение общей информационной кампании для граждан РФ, направленной
на повышение грамотности по вопросам ИБ.
-повышение грамотности по вопросам ИБ лиц, замещающих должности
государственной гражданской и муниципальной службы РФ.
Ожидаемые результаты:
Реализация Концепции будет способствовать непосредственному повышению
уровня грамотности широких слоев населения РФ по вопросам ИБ, сокращению
ущерба представителей широких слоев населения от преступлений с
использованием ИКТ, сохранности их данных, в том числе персональных,
повышению уровня доверия к цифровым сервисам, а также дальнейшей
цифровизации экономики РФ.

60.

«Концепция внешней политики Российской Федерации».
Утверждена Указом Президента РФ 31 марта 2023 г. № 2
«В случае совершения иностранными государствами или их
объединениями недружественных действий, представляющих
угрозу суверенитету и территориальной целостности Российской
Федерации, в том числе связанных с применением
ограничительных мер (санкций) политического или
экономического характера либо с использованием современных
информационно-коммуникационных технологий, Российская
Федерация считает правомерным принять симметричные и
асимметричные меры, необходимые для пресечения таких
недружественных действий, а также для предотвращения их
повторения в будущем».

61.

Стратегия развития информационного общества в РФ (2017)
Определяет цели, задачи и меры по реализации внутренней и внешней политики
РФ в сфере применения информационных и коммуникационных технологий.
Новые термины:
индустриальный интернет - концепция построения информационных и
коммуникационных инфраструктур на основе подключения к сети «Интернет»
промышленных устройств, оборудования, датчиков, сенсоров, систем управления
технологическими процессами, а также интеграции данных программноаппаратных средств между собой без участия человека;
интернет вещей - концепция вычислительной сети, соединяющей вещи
(физические предметы), оснащенные встроенными информационными
технологиями для взаимодействия друг с другом или с внешней средой без
участия человека;
критическая информационная инфраструктура - совокупность объектов
критической информационной инфраструктуры (КИИ), а также сетей
электросвязи, используемых для организации взаимодействия объектов КИИ
между собой;

62.

Стратегия развития информационного общества в РФ
облачные вычисления - информационно-технологическая модель обеспечения
повсеместного и удобного доступа с использованием сети "Интернет" к общему
набору конфигурируемых вычислительных ресурсов ("облаку"), устройствам
хранения данных, приложениям и сервисам, которые могут быть оперативно
предоставлены и освобождены от нагрузки с минимальными эксплуатационными
затратами или практически без участия провайдера;
туманные вычисления - информационно-технологическая модель системного
уровня для расширения облачных функций хранения, вычисления и сетевого
взаимодействия, в которой обработка данных осуществляется на конечном
оборудовании (компьютеры, мобильные устройства, датчики, смарт-узлы и
другое) в сети, а не в "облаке";
Пользователей российского сегмента сети "Интернет" в 2016 г. – более
80 млн. человек.

63.

Стратегия развития информационного общества в РФ
Приоритеты развития:
а) формирование информационного пространства с учетом потребностей
граждан и общества в получении качественных и достоверных сведений;
б) развитие информационной и коммуникационной инфраструктуры РФ;
в) создание и применение российских ИКТ, обеспечение их
конкурентоспособности на международном уровне;
г) формирование новой технологической основы для развития экономики и
социальной сферы;
д) обеспечение национальных интересов в области цифровой экономики.

64.

Стратегия развития информационного общества в РФ
Некоторые основные задачи:
- заменить импортное оборудование, ПО и электронную компонентную базу
российскими аналогами, обеспечить технологическую и производственную
независимость и информационную безопасность;
- обеспечить комплексную защиту информационной инфраструктуры РФ, в том числе с
использованием государственной системы обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные ресурсы и системы критической
информационной инфраструктуры;
- проводить непрерывный мониторинг и анализ угроз, возникающих в связи с
внедрением новых ИТ, для своевременного реагирования на них;
- создать российское общесистемное и прикладное ПО, телекоммуникационное
оборудование и пользовательские устройства для широкого использования, в том числе
на основе обработки больших объемов данных, применения облачных технологий и
интернета вещей;
- создать встроенные средства защиты информации для применения в российских ИКТ;

65.

Стратегия развития информационного общества в РФ
Некоторые основные задачи:
- совершенствовать нормативно-правовое регулирование в сфере обеспечения
безопасной обработки информации;
- разрабатывать нормы международно-правового регулирования, касающиеся
безопасного и устойчивого функционирования и развития сети «Интернет»;
- вести работу, направленную против использования сети "Интернет" в военных целях;
- осуществить интеграцию российских стандартов в сфере ИКТ в соответствующие
международные стандарты, а также обеспечить гармонизацию межгосударственной и
национальной систем стандартов в данной сфере.

66.

Стратегия развития информационного общества в РФ
Программа «Цифровая экономика РФ»
Утверждена распоряжением Правительства РФ № 1632-р от 28.07.2017 г.
Основным результатом ее реализации должно стать создание не менее 10
национальных компаний-лидеров – высокотехнологичных предприятий,
развивающих "сквозные" технологии (промышленный интернет, большие
данные, беспроводная связь и т.д.).
РФ занимает 41-е место по готовности к цифровой экономике со значительным
отрывом от десятки лидирующих стран, таких, как Сингапур, Финляндия,
Швеция, Норвегия, США, Нидерланды, Швейцария, Великобритания,
Люксембург и Япония.
В докладе Всемирного экономического форума о глобальной
конкурентоспособности 2016 - 2017 годов подчеркивается особое значение
инвестиций в инновации.
В международном рейтинге РФ занимает 43-е место, значительно отстав от
многих наиболее конкурентоспособных экономик мира, таких, как Швейцария,
Сингапур, Соединенные Штаты Америки, Нидерланды, Германия, Швеция,
Великобритания, Япония, Гонконг и Финляндия.

67.

Программа «Цифровая экономика РФ»
Программа определяет цели и задачи в рамках 5 базовых направлений
развития цифровой экономики в РФ на период до 2024 года:
1. Нормативное регулирование
2. Кадры и образование
3. Формирование исследовательских компетенций и технических заделов
4. Информационная инфраструктура
5. Информационная безопасность.
Основополагающие принципы ИБ:
1. Использование российских технологий обеспечения целостности,
конфиденциальности, аутентификации и доступности передаваемой
информации и процессов ее обработки;
2. Преимущественное использование отечественного ПО и оборудования;
3. Применение технологий защиты информации с использованием
российских криптографических стандартов.

68.

«Стратегия национальной безопасности РФ»
(утверждена Указом Президента России 02.07.2021 г. № 400)
Анализ современного мира:
Проводятся информационные кампании, направленные на формирование
враждебного образа России. Ограничивается использование русского языка,
запрещается деятельность российских средств массовой информации и
использование российских информационных ресурсов.
Увеличивается количество компьютерных атак на российские информационные
ресурсы. Большая часть таких атак осуществляется с территорий иностранных
государств. Инициативы РФ в области обеспечения международной
информационной безопасности встречают противодействие со стороны
иностранных государств, стремящихся доминировать в глобальном
информационном пространстве.
Использование в Российской Федерации иностранных информационных
технологий и телекоммуникационного оборудования повышает уязвимость
российских информационных ресурсов, включая объекты критической
информационной инфраструктуры Российской Федерации, к воздействию из-за
рубежа.

69.

«Стратегия национальной безопасности РФ»
Национальные интересы и приоритеты России на современном этапе:
- развитие безопасного информационного пространства, защита российского
общества от деструктивного информационно-психологического воздействия;
- информационная безопасность….
Достижение цели обеспечения информационной безопасности осуществляется
путем решения следующих задач:
- снижение до минимально возможного уровня количества утечек информации
ограниченного доступа и персональных данных, а также уменьшение
количества нарушений установленных российским законодательством
требований по защите такой информации;
- обеспечение приоритетного использования в информационной
инфраструктуре Российской Федерации российских информационных
технологий и оборудования, отвечающих требованиям информационной
безопасности.

70.

Концепция государственной системы обнаружения, предупреждения и
ликвидации последствий компьютерных атак на информационные
ресурсы Российской Федерации
(утверждена Президентом РФ 12 декабря 2014 г. № К 1274)
Принята во исполнение Указа Президента РФ от 15.01.2013 г. № 31С
«О создании государственной системы обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные ресурсы РФ»
Концепция определяет назначение, функции и принципы создания государственной
системы обнаружения, предупреждения и ликвидации последствий компьютерных
атак на информационные ресурсы РФ (ГосСОПКА).
Система представляет собой единый централизованный, территориально
распределенный комплекс, включающий силы и средства обнаружения, предупреждения
и ликвидации последствий компьютерных атак, орган исполнительной власти,
уполномоченный в области обеспечения безопасности критической информационной
инфраструктуры РФ, и орган исполнительной власти, уполномоченный в области
создания и обеспечения функционирования Системы.

71.

Концепция
Термины:
Силы обнаружения, предупреждения и ликвидации последствий
компьютерных атак - уполномоченные подразделения субъектов Системы и
специально выделенные сотрудники субъектов Системы, принимающие участие
в обнаружении, предупреждении и ликвидации последствий компьютерных атак
на информационные ресурсы РФ;
Средства обнаружения, предупреждения и ликвидации последствий
компьютерных атак - технологии, а также технические, программные,
лингвистические, правовые, организационные средства, включая сети и средства
связи, средства сбора и анализа информации, поддержки принятия
управленческих решений (ситуационные центры), предназначенные для
обнаружения, предупреждения и ликвидации последствий компьютерных атак
на информационные ресурсы РФ.
В составе Системы функционирует созданный в ФСБ РФ Национальный
координационный центр по компьютерным инцидентам (НКЦКИ), который
организует и осуществляет обмен информацией о компьютерных инцидентах.

72.

Концепция
Функции Системы:
а) выявление признаков проведения компьютерных атак, определение их
источников, методов, способов и средств осуществления, а также разработка
методов и средств обнаружения, предупреждения и ликвидации их последствий;
б) формирование информации об информационных ресурсах РФ;
в) прогнозирование ситуации в области обеспечения ИБ РФ;
г) организация и осуществление взаимодействия с правоохранительными
органами и другими государственными органами, владельцами
информационных ресурсов, операторами связи, интернет-провайдерами и
иными организациями в области обнаружения компьютерных атак;
д) организация и проведение научных исследований в указанной сфере;
е) осуществление мероприятий по подготовке кадров, требующихся для
создания и функционирования Системы;

73.

Концепция
Функции Системы:
ж) сбор и анализ информации о компьютерных атаках и компьютерных
инцидентах в отношении информационных ресурсов РФ, а также о
компьютерных инцидентах в ИС и сетях других стран, с которыми
взаимодействуют владельцы информационных ресурсов РФ;
з) осуществление мероприятий по оперативному реагированию на
компьютерные атаки и компьютерные инциденты, а также по ликвидации
последствий инцидентов;
и) выявление, сбор и анализ сведений об уязвимостях ПО и оборудования;
к) мониторинг степени защищенности ИС и сетей, а также разработка
рекомендаций по организации защиты информационных ресурсов РФ от
компьютерных атак;
м) организация и осуществление антивирусной защиты;
н) совершенствование оперативно-тактического взаимодействия сил и средств
обнаружения, предупреждения и ликвидации последствий компьютерных атак.

74.

«Основы государственной политики Российской Федерации в области
международной информационной безопасности» (2021)
Целью гос. политики в области международной ИБ является содействие
установлению международно-правового режима, при котором создаются
условия для предотвращения межгосударственных конфликтов в глобальном
информационном пространстве, а также для формирования с учетом
национальных интересов РФ системы обеспечения международной ИБ.
Основные угрозы международной ИБ:
- использование ИКТ в военно-политической и иных сферах в целях подрыва
суверенитета, нарушения территориальной целостности государств;
- использование ИКТ в террористических, экстремистских и преступных целях,
а также для вмешательства во внутренние дела суверенных государств;
- использование ИКТ для проведения компьютерных атак на информационные
ресурсы государств
- использование государствами технологического доминирования в глобальном
информационном пространстве для монополизации рынка ИКТ.

75.

«Основы государственной политики Российской Федерации в области
международной информационной безопасности» (2021)
Для нейтрализации угроз в документе определены основные направления
реализации гос. политики в области международной ИБ
в частности:
- выработка принципов и норм международного права, регулирующих
деятельность государств в глобальном информационном пространстве;
- организация международных конференций и семинаров по вопросам
международной ИБ;
- развитие сотрудничества с иностранными государствами в целях
предотвращения межгосударственных конфликтов в глобальном
информационном пространстве;
- содействие разработке и реализации комплекса мер, направленных на
противодействие угрозе использования ИКТ в террористических и
экстремистских целях, предотвращение компьютерных атак на
информационные ресурсы государств;
- содействие обеспечению безопасного и стабильного функционирования и
развития сети «Интернет».

76.

«Стратегия развития отрасли связи Российской Федерации на период
до 2035 года». (2023 г.)
В основе Стратегии - построение современной и защищенной
телекоммуникационной инфраструктуры, внедрение новых технологических
направлений, развитие научного и кадрового потенциала, совершенствование
нормативно-правовой базы для предоставления качественных, востребованных
и конкурентоспособных услуг связи.
Разделы Стратегии:
I. Основные положения
II. Оценка состояния отрасли связи и глобальные тенденции развития
отрасли связи
III. Цели, приоритеты и задачи развития отрасли связи
IV. Нормативное регулирование
V. Ресурсное обеспечение и источники финансирования Стратегии
VI. Мониторинг, контроль и управление реализацией Стратегии

77.

«Концепция государственной системы противодействия противоправным
деяниям, совершаемым с использованием ИКТ». (30.12.2024 г.)
Концепция определяет принципы, цели, задачи и функции государственной системы
противодействия противоправным деяниям, совершаемым с использованием ИКТ, а также
нормативно-правовое, научно-техническое, информационно-аналитическое, кадровое,
организационно-штатное и финансовое обеспечение ее создания и функционирования.
Противоправные деяния, совершенные с использованием ИКТ – общественно
опасные деяния, за которые предусмотрена уголовная либо административная
ответственность, совершенные с использованием ИКТ или в сфере компьютерной
информации, в том числе с использованием электронных или информационнотелекоммуникационных сетей, включая сеть "Интернет", информационной
инфраструктуры, компьютерной техники, программных средств, онлайнсервисов, средств коммуникации, электронных средств платежа, операций с
цифровой валютой и цифровыми финансовыми активами.
Система представляет собой совокупность гос. органов, организаций в сфере
ИКТ и потребителей их услуг, институтов гражданского общества, объектов
информационной инфраструктуры.
Информационно-коммуникационные технологии - процессы и методы создания,
обработки, распространения информации, а также способы и средства их
осуществления.

78.

Законодательство об информации, информационных технологиях
и о защите информации.
Базовый закон в области ИТ и защиты информации:
№ 149-ФЗ «Об информации, информационных технологиях и о защите
информации»
Предмет регулирования: отношения, возникающие при осуществлении права
на поиск, получение, распространение и защиту информации, применение ИТ.
Цель регулирования: защита прав и свобод человека в области доступа к
информации и ИТ, а также ее защиты от НСД.
Ограничение доступа к информации
устанавливается только федеральными
Законами в целях защиты основ
конституционного строя, прав и
законных интересов других лиц,
обеспечения безопасности государства.

79.

Федеральный Закон 149-ФЗ
Информация - сведения (сообщения, данные) независимо от формы их
представления.
Информация в зависимости от категории доступа к ней подразделяется на:
общедоступную
ограниченного доступа.
Информация в зависимости от порядка распространения подразделяется на:
- свободно распространяемую;
- информацию, предоставляемую по соглашению лиц, участвующих в
соответствующих отношениях;
- информацию, которая в соответствии с федеральными законами
подлежит предоставлению или распространению;
- распространение ограничивается или запрещается.
Виды информации ограниченного распространения:
государственная тайна
коммерческая тайна
профессиональная тайна
служебная тайна
информация о частной жизни
личная и семейная тайна
персональные данные

80.

Законодательство о персональных данных.
Базовый закон - № 152-ФЗ «О персональных данных», а также ряд других
законов и нормативных документов.
«Конвенция Совета Европы о защите физических лиц при автоматизированной
обработке персональных данных».
Предмет регулирования: отношения, возникающие при осуществлении
обработки персональных данных как с применением ИТ, так и без их
применения.
Цель регулирования: защита прав и свобод человека при обработке
персональных данных, в том числе защиты прав на неприкосновенность
частной жизни.
Основные угрозы безопасности этих прав
заключаются в неправомерном использовании
собираемых персональных данных операторами.

81.

Законодательство об интеллектуальной собственности.
Базовый закон – Гражданский Кодекс РФ (часть 4), а также ряд других
законов и нормативных документов, в том числе международных
конвенций о защите авторских прав.
Предмет регулирования: отношения, возникающие в связи с правовой
охраной интеллектуальных прав на объекты интеллектуальной собственности.
Виды прав в сфере ИТ:
авторское право;
право смежное с авторским;
патентное право;
право на топологию интегральных микросхем;
право на секрет производства (ноу-хау);
право на средства индивидуализации товаров,
услуг, юридических лиц, предприятий
(фирменное наименование, товарный знак и др.);
право на использование результатов интеллектуальной
деятельности в составе единой технологии.

82.

Законодательство о тайнах.
Базовые законы – «О государственной тайне» от 21.07.1993 № 5485-1
«О коммерческой тайне» от 29.07.2004 № 98-ФЗ, а также ряд других законов
и нормативных документов.
Предмет регулирования: отношения, связанные с отнесением информации к
конкретному виду тайны, распоряжением этой информацией, охраной ее
конфиденциальности.
Режим соответствующей тайны образуется
совокупностью правовых, организационных,
технических и иных мер, принимаемых
обладателем информации, по
регламентированию порядка отнесения
информации к виду тайн, ее распоряжением
и обеспечением защиты.

83.

Нормативные акты по видам тайн (более 60):
Гостайна - Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне»,
Указ Президента РФ №1203 от 30.11.1995 «Об утверждении Перечня
сведений, отнесенных к государственной тайне»
Коммерческая тайна – Закон РФ №98-ФЗ от 29.07.2004 «О коммерческой тайне»
Персональные данные – Закон РФ №152-ФЗ от 27.07.2006 «О персональных данных»
Налоговая тайна – «Налоговый кодекс РФ»
Банковская тайна – Закон РФ от 02.12.1990 №395-1 «О банках и банковской
деятельности»
Врачебная тайна – Закон РФ от 21.11.2011 №323-ФЗ "Об основах охраны здоровья
граждан в Российской Федерации"
Адвокатская тайна – Закон РФ от 31.05.2002 №63-ФЗ "Об адвокатской деятельности
и адвокатуре в Российской Федерации"
Тайна связи – Закон РФ от 07.07.2003 № 126-ФЗ "О связи"
Тайна следствия – Уголовно-процессуальный кодекс
Тайна усыновления – Семейный кодекс
Аудиторская тайна – Закон РФ от 30.12.2008 №307-ФЗ "Об аудиторской
деятельности"
и др.

84.

Законодательство о техническом регулировании.
Базовые законы:
«О техническом регулировании» от 27.12.2002 № 184-ФЗ
«О стандартизации в Российской Федерации» от 29.06.2015 № 162-ФЗ
Утратили силу:
от 10.06.1993 г. № 5151-1 «О сертификации продукции и услуг»
от 10.06.1993 г. № 5154-1 «О стандартизации»
Предмет регулирования: отношения, возникающие при:
исполнении обязательных требований к продукции, процессам производства,
эксплуатации;
исполнении на добровольной основе требований к продукции, процессам
производства, эксплуатации;
оценке соответствия.
Технический регламент – документ, устанавливающий обязательные для
исполнения требования к объектам технического регулирования.
Документ по стандартизации (стандарт) - документ, в котором для
добровольного применения устанавливаются общие характеристики объекта
стандартизации.

85.

Законодательство о лицензировании деятельности .
Базовый закон – «О лицензировании отдельных видов деятельности»
от 04.05.2011 № 99-ФЗ, а также ряд нормативных документов.
Предмет регулирования: регулирует отношения, возникающие между
федеральными органами исполнительной власти, органами исполнительной
власти субъектов Российской Федерации, юридическими лицами и
индивидуальными предпринимателями в связи с осуществлением
лицензирования отдельных видов деятельности.
Лицензирование отдельных видов деятельности осуществляется в целях
предотвращения ущерба правам, законным интересам, жизни или здоровью
граждан, окружающей среде, обороне и безопасности государства, возможность
нанесения которого связана с осуществлением юридическими лицами и
индивидуальными предпринимателями отдельных видов деятельности.

86.

Законодательство о связи и Интернет.
Базовый закон – «О связи» от 07.07.2003 № 126-ФЗ, а также ряд других законов
и нормативных документов.
Предмет регулирования: установление правовых основ деятельности в области
связи на территории РФ и на находящихся под юрисдикцией РФ территориях,
определяет полномочия органов государственной власти в области связи, а также
права и обязанности лиц, участвующих в указанной деятельности или
пользующихся услугами связи.
Цели:
-создание условий для оказания услуг связи на всей территории РФ;
- содействие внедрению перспективных технологий и стандартов;
- создание условий для развития российской инфраструктуры связи, обеспечения
ее интеграции с международными сетями связи;
- создание условий для обеспечения потребностей в связи для нужд органов
государственной власти, нужд обороны страны, безопасности государства и
обеспечения правопорядка.

87.

Законодательство об электронной подписи.
Базовый закон – «Об электронной подписи» от 6.04.2011 № 63-ФЗ.
Утратил силу закон «Об электронной цифровой подписи»
от 10.01.2002 № 1-ФЗ
Предмет регулирования: закон регулирует отношения в области использования
электронных подписей при совершении гражданско-правовых сделок, оказании
государственных и муниципальных услуг, исполнении государственных и
муниципальных функций, при совершении иных юридически значимых
действий.

88.

Федеральный закон 572-ФЗ от 29.12.2022 г.
«Об осуществлении идентификации и (или) аутентификации физических лиц с
использованием биометрических персональных данных…»
Закон регулирует отношения, возникающие при осуществлении идентификации
и (или) аутентификации физических лиц с использованием биометрических
персональных данных с использованием государственной информационной
системы «Единая система идентификации и аутентификации физических лиц с
использованием биометрических персональных данных».
В единой биометрической системе размещаются и обрабатываются
биометрические ПД следующих видов:
1. Изображение лица человека, полученное с помощью фотовидеоустройств;
2. Запись голоса человека, полученная с помощью звукозаписывающих
устройств.

89.

Законодательство о средствах массовой информации и рекламе.
Базовые законы:
«О средствах массовой информации» от 27.12.1991 № 2124-1
«О рекламе» от 13.03.2006 № 38-ФЗ
Предмет регулирования: деятельность средств массовой информации и
отношения, возникающие в процессе производства, размещения и
распространения рекламы.
Закон «О средствах массовой информации»
регламентирует правовое положение учредителей,
редакций, журналистов, дает определение основных
понятий в сфере масс-медиа, описывает права и
обязанности журналистов, закладывает основы
свободы массовой информации, устанавливает
недопустимость цензуры.
Закон «О рекламе» регулирует отношения, возникающие в процессе
производства, размещения и распространения рекламы.

90.

Законодательство о безопасности критической информационной
инфраструктуры (КИИ)
Эффективное правовое регулирование в этой сфере было затруднено из-за
отсутствия системообразующих законодательных актов, устанавливающих
порядок отношений в сфере обеспечения безопасности КИИ в России.
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической
информационной инфраструктуры Российской Федерации»
Вступил в силу с 1.01.2018 г.
Критическая информационная инфраструктура включает в себя
информационные системы, информационно-телекоммуникационные сети,
автоматизированные системы управления субъектов критической
информационной инфраструктуры, а также сети электросвязи, используемые
для организации взаимодействия таких объектов.
Закон устанавливает основные принципы обеспечения безопасности КИИ,
полномочия Президента, Правительства и органов государственной власти РФ в
области обеспечения безопасности КИИ, права и обязанности субъектов,
порядок осуществления оценки безопасности, порядок категорирования и
ведения реестра значимых объектов КИИ.

91.

Основополагающие документы в сфере безопасности КИИ:
УКАЗ ПРЕЗИДЕНТА РФ № 31С от 15.01.2013 г.
«О создании государственной системы обнаружения, предупреждения и
ликвидации последствий компьютерных атак на информационные ресурсы
Российской Федерации» (ГосСОПКА)
(ФСБ поручено создать систему «ГосСОПКА»)
Распоряжение Правительства РФ от 15.04.2013 N 611-р
«Об утверждении перечня нарушений целостности, устойчивости
функционирования и безопасности единой сети электросвязи РФ»
Стратегия национальной безопасности Российской Федерации до 2020 г.
Утверждена Указом Президента РФ № 683 от 31.12.2015 г.
Доктрина информационной безопасности Российской Федерации.
Утверждена Указом Президента РФ от 5.12.2016 № 646.
Концепция государственной системы обнаружения, предупреждения и
ликвидации последствий компьютерных атак на информационные ресурсы
Российской Федерации
Утверждена Президентом РФ 12 декабря 2014 г. № К 1274

92.

Одновременно приняты и с 1.01.2018 г. вступили в силу поправки к законам:
«О связи»,
«О государственной тайне»,
УК РФ,
УПК РФ
Неправомерное воздействие на критическую информационную
инфраструктуру РФ может повлечь за собой уголовную ответственность в
виде лишения свободы до 10 лет (ст. 274-1 УК РФ).
Предварительное следствие по преступлениям в сфере КИИ будет
производиться следователями органов ФСБ.
Меры по обеспечению безопасности критической информационной
инфраструктуры РФ и о состоянии ее защищенности от компьютерных
атак отнесены к сведениям, составляющим государственную тайну.

93.

Закон 187-ФЗ вводит целый ряд важный понятий:
Критическая информационная инфраструктура - объекты критической
информационной инфраструктуры, а также сети электросвязи, используемые
для организации взаимодействия таких объектов;
Объекты КИИ - информационные системы, информационнотелекоммуникационные сети, автоматизированные системы управления
субъектов критической информационной инфраструктуры;
Субъекты КИИ - государственные органы, государственные учреждения,
российские юридические лица и (или) индивидуальные предприниматели,
которым на праве собственности, аренды или на ином законном основании
принадлежат информационные системы, информационно-телеком. сети, АСУ,
функционирующие в сфере здравоохранения, науки, транспорта, связи, …,
российские юридические лица и (или) индивидуальные предприниматели,
которые обеспечивают взаимодействие указанных систем или сетей.
Автоматизированная система управления - комплекс программных и
программно-аппаратных средств, предназначенных для контроля за
технологическим и (или) производственным оборудованием и производимыми
ими процессами, а также для управления такими оборудованием и процессами;

94.

Закон вводит целый ряд важный понятий:
Безопасность КИИ - состояние защищенности КИИ, обеспечивающее ее
устойчивое функционирование при проведении в отношении ее компьютерных
атак;
Значимый объект КИИ - объект КИИ, которому присвоена одна из категорий
значимости и который включен в реестр значимых объектов КИИ;
Компьютерная атака - целенаправленное воздействие программных и (или)
программно-аппаратных средств на объекты КИИ, сети электросвязи,
используемые для организации взаимодействия таких объектов, в целях
нарушения и (или) прекращения их функционирования и (или) создания угрозы
безопасности обрабатываемой такими объектами информации;
Средствами, предназначенными для обнаружения, предупреждения и
ликвидации последствий компьютерных атак и реагирования на компьютерные
инциденты, являются технические, программные, программно-аппаратные и
иные средства для обнаружения, предупреждения, ликвидации последствий
компьютерных атак.

95.

Сферы действия 187-ФЗ:

96.

Сферы действия 187-ФЗ:

97.

Статья 7.
Категорирование объекта КИИ - установление соответствия объекта КИИ
критериям значимости и показателям их значений, присвоение ему одной из
категорий значимости, проверку сведений о результатах ее присвоения.
Категорирование объекта КИИ осуществляется исходя из:
- социальной значимости,
- политической значимости,
- экономической значимости,
- экологической значимости,
- значимости для обеспечения обороны страны, безопасности государства и
правопорядка.
Устанавливаются три категории значимости объектов КИИ - первая, вторая и
третья.
В целях учета значимых объектов КИИ федеральный орган исполнительной
власти, уполномоченный в области обеспечения безопасности КИИ РФ, ведет
реестр значимых объектов КИИ.

98.

Заседание Совета безопасности РФ 26 октября 2017 г.
Основная повестка: защита информационной инфраструктуры государства
и меры по её развитию.
Доклад В.В. Путина:
«Устойчивая работа информационных систем, средств коммуникации и связи,
их защищённость имеют для страны стратегическое значение.»
«Уровень угроз в информационном пространстве повышается, число рисков
увеличивается, а негативные последствия разного рода кибератак носят уже
не локальный, а действительно глобальный характер и масштаб.»
«Ряд стран уже фактически поставили информационные технологии на
военную службу: формируют свои кибервойска, а также активно используют
информационное поле для ослабления конкурентов, продвижения своих
экономических и политических интересов, решения геополитических задач в
целом, в том числе в качестве фактора так называемой мягкой силы.»
«В этой связи мы должны чётко представлять тенденции развития глобальной
информационной сферы, прогнозировать потенциальные угрозы и риски.
И главное – наметить дополнительные меры, которые позволят нам не просто
своевременно выявлять угрозы, а активно реагировать на них.»

99.

Заседание Совета безопасности РФ 26 октября 2017 г.
Доклад В.В. Путина:
На чём в первую очередь необходимо сконцентрировать усилия.
1. Совершенствование государственной системы СОПКА.
2. Повышение защищённости информационных систем и сетей связи
государственных органов.
3. Максимально снизить риски, связанные с объективной необходимостью
использовать иностранные программы и телекоммуникационное
оборудование.
4. Повышение безопасности и устойчивости работы инфраструктуры
российского сегмента интернета.
5. Активнее содействовать созданию системы международной информационной
безопасности, развивать сотрудничество с партнёрами на глобальных и
региональных площадках (ООН, БРИКС, ШОС,…).

100.

Указ Президента РФ № 569 от 25.11.2017 г. «О внесении изменений в
Положение о ФСТЭК»
(вступил в силу с 1.01.2018 г.)
1. ФСТЭК России является федеральным органом исполнительной власти,
осуществляющим реализацию государственной политики, организацию
межведомственной координации и взаимодействия, специальные и контрольные
функции в области государственной безопасности по вопросам:
1) обеспечения безопасности КИИ РФ;
2. ФСТЭК России является федеральным органом исполнительной власти,
уполномоченным в области обеспечения безопасности критической
информационной инфраструктуры, противодействия техническим
разведкам и технической защиты информации, а также…
4. Основными задачами ФСТЭК России являются:
1) реализация в пределах своей компетенции государственной политики в
области обеспечения безопасности значимых объектов критической
информационной инфраструктуры, противодействия техническим
разведкам и технической защиты информации;

101.

Указ Президента РФ № 620 от 22.12.2017 г. «О совершенствовании
государственной системы обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные ресурсы РФ»
(вступил в силу с 1.01.2018 г.)
1. Возложить на ФСБ России функции федерального органа исполнительной
власти, уполномоченного в области обеспечения функционирования
государственной системы СОПКА.
2. Установить, что задачами государственной системы являются:
а) прогнозирование ситуации в области обеспечения ИБ РФ;
б) обеспечение взаимодействия владельцев информационных ресурсов РФ,
операторов связи, иных субъектов, осуществляющих лицензируемую
деятельность в области защиты информации, при решении задач, касающихся
обнаружения, предупреждения и ликвидации последствий компьютерных атак;
в) осуществление контроля степени защищенности информационных ресурсов
РФ от компьютерных атак;
г) установление причин компьютерных инцидентов, связанных с
функционированием информационных ресурсов РФ.

102.

Указ Президента РФ № 620 от 22.12.2017 г.
3. Установить, что ФСБ России:
а) обеспечивает и контролирует функционирование государственной
системы, названной в п.1 настоящего Указа;
б) формирует и реализует в пределах своих полномочий государственную
научно-техническую политику в области обнаружения, предупреждения и
ликвидации последствий компьютерных атак на информационные ресурсы
Российской Федерации;
в) разрабатывает методические рекомендации:
по обнаружению компьютерных атак на информационные ресурсы РФ;
по предупреждению и установлению причин компьютерных инцидентов,
связанных с функционированием информационных ресурсов РФ, а также
по ликвидации последствий этих инцидентов.

103.

Постановление Правительства РФ № 127 от 8.02.2018 г.
Утверждены документы:
«Правила категорирования объектов критической информационной
инфраструктуры Российской Федерации»
«Перечень показателей критериев значимости объектов критической
информационной инфраструктуры Российской Федерации и их значений»
Правила устанавливают порядок и сроки категорирования объектов КИИ.
Категорированию подлежат объекты КИИ, которые обеспечивают
управленческие, технологические, производственные, финансовоэкономические и (или) иные процессы в рамках выполнения функций или
осуществления видов деятельности субъектов КИИ.
Определение категорий значимости объектов КИИ осуществляется на
основании показателей критериев значимости.
Устанавливаются 3 категории значимости (1, 2, 3).

104.

Постановление Правительства РФ № 127 от 8.02.2018 г.
Исходные данные для категорирования:
а) сведения об объекте КИИ;
б) процессы, в рамках осуществления видов деятельности субъекта КИИ;
в) состав информации, обрабатываемой объектами КИИ;
г) декларация промышленной безопасности объекта;
д) сведения о взаимодействии объекта КИИ с другими объектами КИИ;
е) угрозы безопасности информации в отношении объекта КИИ, а также
имеющиеся данные о компьютерных инцидентах, произошедших ранее на
объектах КИИ соответствующего типа;
ж) перечни типовых отраслевых объектов КИИ, которые могут формироваться
государственными органами.

105.

Постановление Правительства РФ № 127 от 8.02.2018 г.
Для проведения категорирования решением руководителя субъекта КИИ
создается комиссия по категорированию.
Решение комиссии по категорированию оформляется актом, который в течение
10 дней направляется в ФСТЭК России.
Пересмотр установленной категории значимости осуществляется не реже
чем один раз в 5 лет.
ПОКАЗАТЕЛИ КРИТЕРИЕВ ЗНАЧИМОСТИ ОБЪЕКТОВ КИИ:
I. Социальная значимость
II. Политическая значимость
III. Экономическая значимость
IV. Экологическая значимость
V. Значимость для обеспечения обороны страны, безопасности государства и
правопорядка

106.

Постановление Правительства РФ № 452 от 13.04.2019 г.
1. Утвердить прилагаемые изменения, которые вносятся в постановление Правительства
Российской Федерации от 8.02.2018 г. № 127
2. Субъектам критической информационной инфраструктуры - государственным
органам и государственным учреждениям утвердить до 1.09.2019 г. перечень
объектов критической информационной инфраструктуры, подлежащих
категорированию.
3. Рекомендовать субъектам критической информационной инфраструктуры –
российским юридическим лицам и (или) индивидуальным предпринимателям
утвердить до 1.09.2019 г. перечень объектов критической информационной
инфраструктуры, подлежащих категорированию.
Изменен порядок категорирования и перечень показателей значимости!
Установлен предельный срок определения объектов КИИ, подлежащих
категорированию – 1.09.2019 г.!

107.

Постановление Правительства РФ № 162 от 17.02.2018 г.
Утверждены «Правила осуществления государственного контроля в
области обеспечения безопасности значимых объектов критической
информационной инфраструктуры Российской Федерации»
Правила устанавливают порядок осуществления федеральным органом
исполнительной власти, уполномоченным в области обеспечения безопасности
КИИ мероприятий по государственному контролю в области обеспечения
безопасности значимых объектов КИИ.
Гос. контроль осуществляется путем проведения плановых и внеплановых
выездных проверок.
Ежегодный план проведения плановых проверок утверждается руководителем
органа государственного контроля до 20 декабря.
Основаниями для осуществления внеплановой проверки являются:
а) истечение срока выполнения субъектом КИИ предписания об устранении
выявленного нарушения требований по обеспечению безопасности;
б) возникновение компьютерного инцидента;
в) приказ органа гос. контроля либо на основании требования прокурора.

108.

Приказ ФСТЭК от 11.12.2017 г. № 229
«Об утверждении формы акта проверки, составляемого по итогам проведения
государственного контроля в области обеспечения безопасности значимых
объектов критической информационной инфраструктуры РФ»

109.

Приказы ФСТЭК:
6.12. 2017 г. № 227 «Об утверждении порядка ведения реестра значимых
объектов критической информационной инфраструктуры
Российской Федерации»
21.12.2017 г. № 235 «Об утверждении требований к созданию системы
безопасности значимых объектов критической информационной
инфраструктуры РФ и обеспечению их функционирования»
22.12.2017 г. № 236 «Об утверждении формы направления сведений о
результатах присвоения объекту КИИ одной из категорий
значимости либо отсутствии необходимости присвоения ему
одной из таких категорий»
25.12.2017 г. № 239 «Об утверждении требований по обеспечению
безопасности значимых объектов критической информационной
инфраструктуры РФ»
В марте 2019 г. в них внесены изменения!

110.

Приказ ФСТЭК № 235
В приказе определены требования к следующим элементам системы
обеспечения безопасности значимых объектов КИИ:
- силам обеспечения безопасности;
- программным и программно-аппаратным средствам;
- организационно-распорядительным документам;
- функционированию системы безопасности.
Основные защитные меры, которые должны реализовывать системы
безопасности значимых объектов КИИ:
- предотвращение неправомерного доступа к информации;
- недопущение воздействия на технические средства обработки информации;
- восстановление функционирования значимых объектов;
- непрерывное взаимодействие с государственной системой СОПКА.

111.

Приказ ФСТЭК № 239 «Об утверждении требований по обеспечению
безопасности значимых объектов КИИ РФ»
Внедрение организационных и технических мер по обеспечению
безопасности значимого объекта КИИ включает:
а) установку и настройку средств ЗИ, настройку программных и программноаппаратных средств;
б) разработку организационно-распорядительных документов;
в) внедрение организационных мер по обеспечению безопасности объекта;
г) предварительные испытания объекта и его подсистемы безопасности;
д) опытную эксплуатацию значимого объекта и его подсистемы безопасности;
е) анализ уязвимостей значимого объекта и принятие мер по их устранению;
ж) приемочные испытания значимого объекта и его подсистемы безопасности.

112.

Приложение к приказу 239

113.

Указ Президента РФ № 166 от 30.03.2022 г.
«О мерах по обеспечению технологической независимости и безопасности
критической информационной инфраструктуры Российской Федерации»
1. Установить, что:
а) с 31 марта 2022 г. заказчики, осуществляющие закупки, не могут
осуществлять закупки иностранного программного обеспечения, в том
числе в составе программно-аппаратных комплексов, в целях его использования
на принадлежащих им значимых объектах КИИ, а также закупки услуг,
необходимых для использования этого ПО на таких объектах без согласования
возможности осуществления закупок с федеральным органом исполнительной
власти, уполномоченным Правительством РФ.
б) с 1 января 2025 г. органам государственной власти, заказчикам запрещается
использовать иностранное программное обеспечение на принадлежащих им
значимых объектах критической информационной инфраструктуры.

114.

Закон 149-ФЗ:
Статья 3. Принципы правового регулирования отношений в сфере информации,
информационных технологий и защиты информации.
8) недопустимость установления нормативными правовыми актами каких-либо
преимуществ применения одних информационных технологий перед другими, если
только обязательность применения определенных информационных технологий для
создания и эксплуатации государственных информационных систем не установлена
федеральными законами.
Указ Президента РФ № 166 от 30.03.2022 г. о запрещении использования
иностранного ПО…
?!?

115.

Указ Президента РФ № 166 от 30.03.2022 г.
2. Правительству РФ:
а) в месячный срок утвердить:
-требования к ПО, используемому на значимых объектах КИИ;
-правила согласования закупок иностранного ПО в целях его использования на
значимых объектах КИИ;
б) в 6-месячный срок реализовать комплекс мероприятий, направленных на обеспечение
преимущественного применения субъектами КИИ отечественных радиоэлектронной
продукции и телекоммуникационного оборудования на значимых объектах КИИ;
-определить сроки и порядок перехода субъектов КИИ на преимущественное применение
доверенных программно-аппаратных комплексов на значимых объектах КИИ;
- обеспечить внесение в законодательство РФ изменений в соответствии с настоящим
Указом;
-обеспечить создание и организацию деятельности научно-производственного
объединения, специализирующегося на разработке, производстве, технической
поддержке и сервисном обслуживании доверенных программно-аппаратных комплексов
для КИИ;
- организовать подготовку и переподготовку кадров в сфере разработки, производства,
технической поддержки и сервисного обслуживания радиоэлектронной продукции и
телекоммуникационного оборудования.

116.

Постановление Правительства РФ № 1478 от 22.08.2022
« Об утверждении требований к программному обеспечению…»
Во исполнение Указа 166 утверждены:
1. Требования к программному обеспечению, используемому на значимых
объектах КИИ;
2. Правила согласования закупок иностранного программного обеспечения
для использования на значимых объектах КИИ;
3. Правила перехода на преимущественное использование российского
программного обеспечения на значимых объектах.
Определены уполномоченные гос. органы для согласования закупок:
Министерство здравоохранения
Министерство науки и высшего образования
Министерство транспорта
Министерство цифрового развития, связи и массовых коммуникаций
Министерство финансов
Министерство энергетики
Министерство промышленности и торговли.

117.

Постановление Правительства РФ № 1912 от 14.11.2023
«О порядке перехода субъектов критической информационной инфраструктуры
РФ на преимущественное применение доверенных программно-аппаратных
комплексов на принадлежащих им значимых объектах критической
информационной инфраструктуры Российской Федерации».
Постановлением утверждены Правила перехода.
ТЕРМИНЫ:
Программно-аппаратный комплекс (ПАК) - радиоэлектронная продукция, в
том числе телекоммуникационное оборудование, программное обеспечение и
технические средства, работающие совместно для выполнения одной или
нескольких сходных задач;
Доверенный программно-аппаратный комплекс - программно-аппаратный
комплекс, который соответствует одновременно всем критериям признания
программно-аппаратных комплексов доверенными программно-аппаратными
комплексами, указанным в приложении 1 к данным Правилам.
Преимущественное применение доверенных ПАК - применение субъектами
КИИ на принадлежащих им значимых объектах КИИ доверенных ПАК, доля
которых по состоянию на 31 декабря 2029 г. составляет 100 процентов в
общем количестве программно-аппаратных комплексов.

118.

Постановление Правительства РФ № 1912 от 14.11.2023
Переход субъектов КИИ на преимущественное применение доверенных
ПАК на значимых объектах КИИ осуществляется до 1 января 2030 г.
Приложение 1
КРИТЕРИИ
ПРИЗНАНИЯ ПРОГРАММНО-АППАРАТНЫХ КОМПЛЕКСОВ ДОВЕРЕННЫМИ
ПРОГРАММНО-АППАРАТНЫМИ КОМПЛЕКСАМИ
1. Сведения о ПАК содержатся в едином реестре российской радиоэлектронной
продукции.
2. Программное обеспечение, используемое в составе ПАК, соответствует
требованиям к ПО, утвержденным постановлением Правительства РФ
от 22 августа 2022 г. № 1478.
3. ПАК в случае реализации в нем функции защиты информации соответствует
требованиям, установленным ФСТЭК и (или) ФСБ, что должно быть
подтверждено соответствующим документом (сертификатом).

119.

Указ Президента РФ от 1 мая 2022 № 250 «О дополнительных мерах по
обеспечению информационной безопасности Российской Федерации».
В федеральных органах государственной власти и гос. предприятиях с 1.05.2022 г.:
- вводится должность заместителя руководителя по обеспечению ИБ;
- создается структурное подразделение, осуществляющее функции по обеспечению ИБ;
- на руководителей возлагается персональная ответственность за обеспечение ИБ;
С 1 января 2025 г. запрещается использовать средства ЗИ, странами происхождения
которых являются иностранные государства, совершающие в отношении РФ
недружественные действия, либо производителями которых являются организации,
находящиеся под юрисдикцией таких иностранных государств.
Постановление Правительства РФ от 15 июля 2022 № 1272
(во исполнение Указа № 250)
Утверждено типовое положение о заместителе руководителя, ответственном за
обеспечение ИБ в организации, и типовое положение о структурном подразделении в
организации, обеспечивающем ИБ.
Заместитель руководителя должен иметь высшее образование (специалитет, либо
магистратура, либо проф. переподготовка) по направлению «Информационная
безопасность».

120.

Приказы ФСБ:
24.07.2018 № 366 «О Национальном координационном центре по компьютерным
инцидентам».
24.07.2018 № 367 «Об утверждении перечня информации, предоставляемой в
ГосСОПКу и порядка представления информации в ГосСОПКУ».
06.05.2019 № 196 «Об утверждении Требований к средствам, предназначенным
для обнаружения, предупреждения и ликвидации последствий
компьютерных атак и реагирования на компьютерные инциденты».
19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и
эксплуатации средств, предназначенных для обнаружения,
предупреждения и ликвидации последствий компьютерных атак и
реагирования на компьютерные инциденты, за исключением средств,
предназначенных для поиска признаков компьютерных атак в сетях
электросвязи, используемых для организации взаимодействия объектов
КИИ РФ».
19 июня 2019 г. № 282 «Порядок информирования ФСБ России о компьютерных
инцидентах, реагирования на них, принятия мер по ликвидации
последствий компьютерных атак, проведенных в отношении значимых
объектов критической информационной инфраструктуры РФ»

121.

В плане реализации требований закона приказом ФСБ создан национальный
координационный центр по компьютерным инцидентам (НКЦКИ).
(Приказ ФСБ № 366 от 24.07.2018 г.)
В соответствии с Положением НКЦКИ обеспечивает координацию деятельности
субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации
последствий компьютерных атак и реагирования на компьютерные инциденты.
GOV-CERT.RU

122.

Портал «Безопасность пользователей в сети Интернет»
https://www.safe-surf.ru

123.

Портал «Безопасность пользователей в сети Интернет»
SAFE-SURF.RU

124.

Портал «Безопасность пользователей в сети Интернет»

125.

Приказ ФСБ № 196 об утверждении Требований к средствам ГосСОПКА
К средствам ГосСОПКА относятся:
1) технические, программные, программно-аппаратные и иные средства для:
- обнаружения компьютерных атак ;
- предупреждения компьютерных атак;
- ликвидации последствий компьютерных атак;
- поиска признаков компьютерных атак;
- обмена информацией при обнаружении, предупреждении и (или)
ликвидации последствий компьютерных атак ;
2) криптографические средства защиты информации.

126.

Приказ ФСБ № 196 об утверждении Требований к средствам ГосСОПКА
Средства ГосСОПКА должны соответствовать следующим требованиям:
1. Исключена возможность удаленного управления со стороны лиц, не
являющихся работниками субъекта КИИ.
2. Исключена возможность несанкционированной передачи обрабатываемой
информации лицам, не являющимся работниками субъекта КИИ.
3. Иметь возможность модернизации российскими организациями.
4. Обеспечены гарантийной и технической поддержкой российскими
организациями
5. Работа средств ГосСОПКА не должна приводить к нарушениям
функционирования информационных систем, сетей и АСУ.

127.

Приказ ФСБ № 196 об утверждении Требований к средствам ГосСОПКА
Средства ГосСОПКА должны соответствовать следующим требованиям:
6. В средствах ГосСОПКА должны быть реализованы функции безопасности
в соответствии с главой VIII настоящих Требований:
- идентификацию и аутентификацию пользователей;
- разграничение прав доступа к информации и функциям;
- регистрацию событий ИБ;
- обновление программных компонентов и служебных баз данных;
- резервирование и восстановление своей работоспособности;
- синхронизацию системного времени (корректировку настроек
часовых поясов);
- контроль целостности ПО.

128.

Методический документ ФСТЭК от 2 мая 2024 г.:
«Методика оценки показателя состояния технической защиты информации
и обеспечения безопасности значимых объектов критической
информационной инфраструктуры Российской Федерации».
Методика определяет показатель, характеризующий текущее состояние
технической защиты информации, не составляющей государственную тайну,
и (или) обеспечения безопасности значимых объектов КИИ, его нормированное
значение, а также порядок его расчета.
Методика применяется для оценки текущего состояния защиты информации
и степени его соответствия минимально необходимому уровню защиты от
типовых актуальных угроз безопасности информации.
В качестве минимально необходимого уровня защиты информации задан
состав мер, реализация которых предусмотрена нормативными правовыми
актами, и который минимально достаточен для блокирования (нейтрализации)
типовых актуальных угроз безопасности информации.

129.

Методический документ ФСТЭК от 2 мая 2024 г.:
Методика применяется:
а) ФСТЭК России — для мониторинга текущего состояния защиты информации
и обеспечения безопасности объектов КИИ в организациях;
б) организацией — для оценки текущего состояния защиты информации и (или)
обеспечения безопасности объектов КИИ и разработки на основе такой оценки
мер по повышению уровня защищенности, а также оценки эффективности
деятельности заместителя руководителя организации, на которого возложены
полномочия по обеспечению ИБ, и (или) структурного подразделения,
осуществляющего функции по обеспечению ИБ.

130.

«Порядок осуществления мониторинга защищенности информационных
ресурсов, принадлежащих федеральным органам исполнительной власти,
высшим исполнительным органам государственной власти субъектов РФ,
государственным фондам, государственным корпорациям, иным организациям,
созданным на основании федеральных законов, стратегическим предприятиям,
стратегическим акционерным обществам и системообразующим организациям
российской экономики, юридическим лицам, являющимся субъектами КИИ
либо используемых ими».
Утвержден приказом ФСБ № 213 от 11.05.2023 г.
Мониторинг осуществляется в целях оценки способности информационных ресурсов
организаций противостоять угрозам информационной безопасности.
Мониторинг защищенности осуществляется в отношении следующих ресурсов:
- информационных систем (в том числе сайтов в сети "Интернет");
- информационно-телекоммуникационных сетей;
- автоматизированных систем управления.
Мониторинг защищенности осуществляется непрерывно.

131.

https://www.cbr.ru/fincert/
Отраслевой центр компетенций по защите КИИ

132.

Федеральный Закон № 167-ФЗ от 27 июня 2018 года
«О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ОТДЕЛЬНЫЕ
ЗАКОНОДАТЕЛЬНЫЕ АКТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
В ЧАСТИ ПРОТИВОДЕЙСТВИЯ ХИЩЕНИЮ ДЕНЕЖНЫХ СРЕДСТВ»
13
2
Изменения в законы:
«О банках и банковской деятельности»
«О Центральном банке Российской Федерации (Банке России)»
«О национальной платежной системе»
Создание правовой основы механизма приостановки
незаконных платежей и их возврата;
Мониторинга выявления мошеннических действий;
Формирование правовой базы для информационного
обмена об участниках схем хищений денежных средств;
Расширение полномочий Банка России по
регулированию информационной безопасности (банки и
поднадзорные финансовые организации)

133.

Основная цель ФинЦЕРТ
Создание центра компетенции в
рамках информационного
взаимодействия между Банком
России, разработчиками
антивирусного ПО, операторами
связи, банками и другими
организациями
13
3

134.

ФинЦЕРТ Банка России
Организация и координация обмена
информацией;
Информирование кредитных организаций и
реагирование на инциденты;
Проведение компьютерных исследований;
На основе анализа данных подготовка
аналитических материалов и рассылка;
Активное участие в финансовом просвещении
населения;
Участие в проверках организаций кредитнофинансовой сферы
13
4

135.

ПОДВОДЯ ИТОГИ…
3 этапа соблюдения требований 187-ФЗ:
I. Категорирование объектов КИИ.
II. Обеспечение безопасности значимых объектов КИИ.
III. Подключение значимых объектов КИИ к ГосСОПКА.
6 этапов категорирования:
1. Формирование комиссии по категорированию.
2. Определение всех процессов.
3. Определение критических процессов.
4. Определение объектов КИИ (пост. Правительства № 127).
5. Подготовка акта категорирования и формы сведений для каждого
объекта КИИ (приказ № 236).
6. Отправка сведений во ФСТЭК.

136.

II. Обеспечение безопасности значимых объектов (ЗО) КИИ.

137.

Ответственность в области защиты КИИ
КоАП РФ (2021 г.)
Статья 13.12.1. Нарушение требований в области обеспечения безопасности
критической информационной инфраструктуры Российской Федерации
влечет наложение административного штрафа
на должностных лиц в размере от 10 до 50 тысяч рублей;
на юридических лиц - от 50 до 500 тысяч рублей.
Статья 19.7.15. Непредставление сведений, предусмотренных
законодательством в области обеспечения безопасности критической
информационной инфраструктуры Российской Федерации
влечет наложение административного штрафа
на должностных лиц в размере от 10 до 50 тысяч рублей;
на юридических лиц - от 50 до 500 тысяч рублей.
УК РФ (2017 г.)
Статья 274.1. Неправомерное воздействие на критическую
информационную инфраструктуру Российской Федерации
Максимальное наказание: лишение свободы на срок до 10 лет с лишением права
занимать определенные должности или заниматься определенной
деятельностью на срок до пяти лет или без такового.

138.

С 1 февраля 2023 г. введена в действие серия национальных стандартов,
которая определяет единый структурированный подход к организации и
ведению деятельности по управлению компьютерными инцидентами в
рамках функционирования государственной системы СОПКА.
ГОСТ Р 59709-2022 «Защита информации. Управление компьютерными
инцидентами. Термины и определения».
ГОСТ Р 59710-2022 «Защита информации. Управление компьютерными
инцидентами. Общие положения».
ГОСТ Р 59711-2022 «Защита информации. Управление компьютерными
инцидентами. Организация деятельности по управлению компьютерными
инцидентами».
ГОСТ Р 59712-2022 «Защита информации. Управление компьютерными
инцидентами. Руководство по реагированию на компьютерные инциденты».
ПНСТ 905-2023 «Критическая информационная инфраструктура. Доверенные
аппаратно-программные комплексы. Термины и определения».
Срок действия с 1.04.2024 по 1.04.2027.

139.

Стандарт ГОСТ Р 59709 содержит термины и определения основных понятий
в данной предметной области.
Стандарт ГОСТ Р 59710 является основополагающим для серии стандартов по
управлению компьютерными инцидентами в рамках функционирования
системы ГосСОПКА.
Он определяет содержание следующих стадий управления компьютерными
инцидентами:
- организация деятельности по управлению компьютерными инцидентами;
- обнаружение и регистрация компьютерных инцидентов;
- реагирование на компьютерные инциденты;
- анализ результатов деятельности по управлению инцидентами.

140.

Стандарт ГОСТ Р 59711 определяет содержание этапов организации
деятельности по управлению компьютерными инцидентами, а именно:
- разработка политики управления компьютерными инцидентами;
- разработка плана реагирования на компьютерные инциденты;
- определение подразделения, ответственного за управление компьютерными
инцидентами;
- организация взаимодействия с подразделениями внутри организации и
с внешними организациями;
- материально-техническое оснащение подразделения, ответственного за
управление компьютерными инцидентами;
- организация обучения и информирования в части управления
компьютерными инцидентами;
- проведение тренировок по отработке мероприятий плана реагирования на
компьютерные инциденты.

141.

Стандарт ГОСТ Р 59712 определяет содержание этапов, выполняемых на трех
стадиях управления компьютерными инцидентами, определенных в стандарте
ГОСТ Р 59710:
1. Обнаружение и регистрация компьютерных инцидентов
(регистрация признаков возможного возникновения инцидентов;
подтверждение инцидентов).
2. Реагирование на компьютерные инциденты
(определение вовлеченных в компьютерный инцидент элементов
информационной инфраструктуры; локализация инцидента; выявление
последствий инцидента; ликвидация последствий инцидента; закрытие
инцидента; фиксация материалов, связанных с возникновением инцидента;
установление причин и условий возникновения инцидента).
3. Анализ результатов деятельности по управлению инцидентами
(приобретение и накопление опыта по результатам управления инцидентами;
разработка рекомендаций по устранению причин и условий возникновения
инцидентов; оценка результатов и эффективности реагирования на инциденты.

142.

Законодательство о техническом регулировании.
Закон – «О техническом регулировании» от 27.12.2002 № 184-ФЗ
Термины:
Технический регламент - документ, который устанавливает обязательные для
применения и исполнения требования к объектам технического регулирования.
Сертификация - форма осуществляемого органом по сертификации
подтверждения соответствия объектов требованиям технических регламентов,
документам по стандартизации или условиям договоров.
Техническое регулирование - правовое регулирование отношений в области
установления, применения и исполнения обязательных требований к продукции,
а также в области установления и применения на добровольной основе
требований к продукции и правовое регулирование отношений в области оценки
соответствия.
Оценка соответствия - прямое или косвенное определение соблюдения
требований, предъявляемых к объекту.
Система сертификации - совокупность правил выполнения работ по
сертификации, ее участников и правил функционирования системы сертификации

143.

Законодательство о техническом регулировании.
Закон 184-ФЗ регулирует отношения, возникающие при:
1. Разработке, принятии, применении и исполнении обязательных
требований к продукции и процессам;
2. Применении и исполнении на добровольной основе требований
к продукции и процессам, а также к выполнению работ или
оказанию услуг в целях добровольного подтверждения
соответствия;
3. Оценке соответствия.

144.

Законодательство о техническом регулировании.
Формы подтверждения соответствия:
1. Добровольное подтверждение соответствия осуществляется в форме
добровольной сертификации органом по сертификации.
2. Обязательное подтверждение соответствия проводится только в случаях,
установленных соответствующим техническим регламентом и
осуществляется в формах:
- принятия декларации о соответствии (декларирование);
- обязательной сертификации.
Декларирование осуществляется по одной из следующих схем:
1. На основании собственных доказательств;
2. На основании собственных доказательств и доказательств,
полученных с участием органа по сертификации
Обязательная сертификация осуществляется органом по сертификации на
основании договора с заявителем.

145.

Сертификация средств ЗИ
Под сертификацией понимается подтверждение соответствия третьей стороной,
относящееся к продукции, процессам, системам или персоналу.
(ГОСТ ИСО/МЭК 17000)
Ключевые особенности сертификации:
1. Сертификация проводится на соответствие заданным требованиям,
определенным в нормативных документах.
2. В случае положительно результата процесс сертификации заканчивается
выдачей официального удостоверения – сертификата соответствия, а
сертифицированная продукция подлежит маркировке знаком соответствия.
3. Сертификация является деятельностью третьей стороны, т.е. должна быть
обеспечена независимость оценки соответствия.
4. Сертификация может быть добровольной и обязательной. Сертификация
СЗИ по требованиям безопасности информации является обязательной.
5. Каждая система сертификации (ФСБ, ФСТЭК, Минобороны) создает свои
правила и процедуры оценки.

146.

Постановление Правительства РФ от 26.06.1995 № 608 (ред. от 21.04.2010)
«О сертификации средств защиты информации»
Утверждено «Положение о сертификации средств защиты информации»
Технические, криптографические, программные и другие средства,
предназначенные для защиты сведений, составляющих государственную тайну,
а также средства контроля эффективности защиты информации являются
средствами защиты информации.
Указанные средства подлежат обязательной сертификации.
При этом криптографические средства должны быть отечественного
производства и выполнены на основе криптографических алгоритмов,
рекомендованных ФСБ.
Системы сертификации в России создаются:
ФСТЭК, ФСБ, Минобороны РФ.
Координацию работ по организации сертификации СЗИ осуществляет
Межведомственная комиссия по защите государственной тайны.

147.

Система сертификации ФСТЭК России
Положение о системе сертификации средств защиты информации
Утверждено приказом ФСТЭК России от 3 апреля 2018 г. № 55
Введено в действие с 1.08.2018 г.
«Порядок организации и проведения работ по аттестации объектов
информатизации на соответствие требованиям о защите информации
ограниченного доступа, не составляющей государственную тайну»
Утвержден приказом ФСТЭК от 29.04.2021 г. № 77.
«Порядок организации и проведения работ по аттестации объектов
информатизации на соответствие требованиям о защите информации,
содержащей сведения, составляющие государственную тайну»
Утвержден приказом ФСТЭК России от 28 сентября 2020 г. № 110.

148.

Положение о системе сертификации средств защиты информации
Сертификации в системе сертификации ФСТЭК России подлежат:
- средства противодействия иностранным техническим разведкам, а также средства
контроля эффективности противодействия иностранным техническим разведкам;
- средства технической защиты информации, включая средства, в которых они
реализованы, а также средства контроля эффективности технической ЗИ;
- средства обеспечения безопасности информационных технологий, включая
защищенные средства обработки информации.
Участниками системы сертификации ФСТЭК России являются:
- федеральный орган по сертификации;
- организации, аккредитованные ФСТЭК России в качестве органа по сертификации;
- организации, аккредитованные ФСТЭК России в качестве испытательной лаборатории;
- изготовители средств защиты информации.

149.

Участники системы сертификации ФСТЭК России

150.

Постановление Правительства РФ от 26.06.1995 № 608
«О сертификации средств защиты информации»
Органы по сертификации средств защиты информации:
- сертифицируют СЗИ, выдают сертификаты и ведут их учет;
- приостанавливают либо отменяют действие сертификатов;
- принимают решение о проведении повторной сертификации;
- формируют фонд нормативных документов, необходимых для сертификации.
Испытательные лаборатории проводят сертификационные испытания СЗИ и
По их результатам оформляют заключения и протоколы, которые направляют в
соответствующий орган по сертификации.
Изготовители производят (реализуют) СЗИ только при наличии сертификата.
Изготовители должны иметь лицензию на соответствующий вид деятельности.

151.

Сертификация средств защиты информации
Объектами сертификации СЗИ могут быть:
Средства защиты информации
Средства вычислительной техники
Межсетевые экраны
Средства обнаружения вторжений
Средства антивирусной защиты
Средства криптографической защиты информации
Средства защиты персональных данных
Автоматизированные системы
Системы менеджмента (управления) безопасности

152.

Информационное сообщение ФСТЭК от 7 апреля 2014 г. № 240/24/1208
«О применении сертифицированной по требованиям безопасности
ОС Windows XP в условиях прекращения поддержки разработчиком».
С 8.04.2014 г. прекращается поддержка и выпуск обновлений ОС Windows XP.
Органам гос. власти и организациям, использующим для защиты информации версии
ОС Windows XP, рекомендуется:
1. Спланировать мероприятия по переводу до декабря 2016 г. ИС на сертифицированные
ОС, поддерживаемые их производителями.
2. До перехода на сертифицированные ОС принять дополнительные меры защиты:
- установить все актуальные сертифицированные обновления ОС Windows XP;
- установить запрет на автоматическое обновление ОС;
- обеспечивать периодический контроль механизмов защиты ОС;
- по возможности исключить подключение к сети Интернет и к ЛВС средств ВТ или
сегментов ИС, работающих под управлением ОС Windows XP;
- обеспечить регулярное резервное копирование информации, ПО и средств ЗИ,
содержащихся на СВТ или в сегментах ИС под управлением ОС Windows XP;
- разработать и внедрить правила и процедуры действий должностных лиц в случае
выявления уязвимостей в ОС Windows XP .

153.

Информационное сообщение ФСТЭК от 20.01.2020 г. № 240/24/250
Компанией Microsoft с 14.01.2020 г. прекращена поддержка и выпуск обновлений для ОС
Microsoft Windows 7 и Microsoft Windows Server 2008 R2
Приказом ФСТЭК от 20.01.2020 г. № 9 прекращено действие сертификатов соответствия
РЕКОМЕНДАЦИИ ФСТЭК:
1. Спланировать мероприятия по переводу до 1.06.2020 г. ИС на сертифицированные ОС.
2. До перехода на сертифицированные ОС принять дополнительные меры защиты:
- установить все актуальные сертифицированные обновления ОС и установить запрет
на автоматическое обновление указанных ОС;
- обеспечивать периодический контроль механизмов защиты ОС;
- по возможности исключить подключение к сети Интернет и к ЛВС средств ВТ или
сегментов ИС, работающих под управлением указанных ОС. При невозможности
этого применять в обязательном порядке меры по сегментированию ИС и защите
периметра ИС;
- обеспечить регулярное резервное копирование информации, ПО и средств ЗИ;
- регламентировать и обеспечить контроль за применением съемных машинных
носителей информации;
. . .

154.

«Порядок организации и проведения работ по аттестации объектов
информатизации на соответствие требованиям …
(Утв. ФСТЭК 29.04.2021 г. № 77)
Порядок распространяется на аттестацию следующих объектов:
- государственных и муниципальных ИС, в т.ч ИСПДн;
- ИС управления производством и технологическими процессами;
- значимых объектов критической информационной инфраструктуры;
- помещений, предназначенных для ведения конфиденциальных переговоров.
Аттестация объекта проводится на этапе его создания или модернизации и
предусматривает проведение комплекса организационных и технических
мероприятий и работ (аттестационных испытаний).
Для проведения аттестационных испытаний владелец объекта привлекает
организацию, имеющую лицензию на осуществление деятельности по технической
защите конфиденциальной информации (с правом проведения работ и оказания услуг по
аттестационным испытаниям и аттестации на соответствие требованиям по ЗИ).
Нововведение: разрешено органам государственной власти при выполнении ряда
условий (наличие технических средств, документов и специалистов) самостоятельно
аттестовывать свои объекты информатизации без наличия лицензии ФСТЭК.

155.

«О стандартизации в Российской Федерации» от 29.06.2015 № 162-ФЗ
Термины:
Стандарт организации - документ по стандартизации, утвержденный
юридическим лицом.
Основополагающий национальный стандарт - национальный стандарт,
разработанный и утвержденный федеральным органом исполнительной власти
в сфере стандартизации, устанавливающий общие положения, касающиеся
выполнения работ по стандартизации, а также виды национальных стандартов.
Документ по стандартизации - документ, в котором для добровольного и
многократного применения устанавливаются общие характеристики объекта
стандартизации.
Национальный стандарт - документ по стандартизации, который разработан
участником или участниками работ по стандартизации, по результатам
экспертизы в техническом комитете по стандартизации или проектном
техническом комитете по стандартизации утвержден федеральным органом
исполнительной власти в сфере стандартизации …
Исключено понятие «Государственный стандарт»!

156.

Стандартизация в РФ основывается на принципе добровольности
применения документов по стандартизации.
К документам по стандартизации относятся (статья 14):
1) документы национальной системы стандартизации;
2) общероссийские классификаторы;
3) стандарты организаций, в том числе технические условия;
4) своды правил;
5) документы по стандартизации, которые устанавливают обязательные
требования в отношении следующих объектов стандартизации:
- оборонной продукции,
- продукции, используемой в целях защиты гос. тайны или иной
информации ограниченного доступа,
- продукции, сведения о которой составляют гос. тайну,
- продукции, для которой устанавливаются требования, связанные с
обеспечением безопасности в области использования атомной энергии.

157.

Организацию работ по стандартизации осуществляет Федеральное агентство
по техническому регулированию и метрологии (Росстандарт).
Оно выполняет функции:
- утверждение национальных стандартов;
- организацию экспертизы проектов национальных стандартов;
- обеспечение соответствия национальной системы стандартизации
интересам национальной экономики;
- осуществление учета национальных стандартов, правил стандартизации;
- создание технических комитетов по стандартизации и координацию их
деятельности;
- организацию опубликования национальных стандартов;
- представление РФ в международных организациях, осуществляющих
деятельность в области стандартизации.

158.

http://www.gost.ru
Федеральное агентство по техническому регулированию и метрологии
(Росстандарт) ведет свою деятельность в соответствии с Положением,
утвержденным постановлением Правительства РФ от 17 июня 2004 г. № 294.

159.

В рамках своих полномочий Росстандарт создает технические комитеты (ТК) по
стандартизации, утверждает положения о технических комитетах, формирует
их составы, устанавливает порядок их создания, деятельности и ликвидации.
В структуру ТК должны входить: члены комитета, секретариат, председатель,
ответственный секретарь. В рамках комитета могут быть созданы подкомитеты
и рабочие группы по областям деятельности.
Деятельность технического комитета по стандартизации «Защита информации»
(ТК 362) определена приказом Росстандарта № 1422 от 27.06.2017 г.
В рамках комитета ТК 362 работают следующие подкомитеты:
ПК 1 Общеметодологический;
ПК 2 Защита информации на объектах информатизации и объектах КИИ;
ПК 3 Средства и методы защиты информации;
ПК 4 Разработка безопасного программного обеспечения.
Председателем ТК 362 назначен заместитель директора ФСТЭК Лютиков В.С.
Функции по ведению дел секретариата возложены на Федеральное автономное
учреждение «Государственный научно-исследовательский испытательный
институт проблем технической защиты информации ФСТЭК

160.

Постановление Госстандарта РФ от 30.01.2004 г. № 4
«О национальных стандартах РФ»
Со дня вступления в силу Федерального закона «О техническом регулировании»
признать национальными стандартами государственные и межгосударственные
стандарты, принятые Госстандартом России до 1 июля 2003 года.
Впредь до вступления в силу соответствующих технических регламентов
требования к продукции, процессам производства, эксплуатации, хранения,
перевозки, реализации и утилизации, установленные указанными стандартами,
подлежат обязательному исполнению только в части, соответствующей целям:
- защиты жизни или здоровья граждан, имущества физических или
юридических лиц, государственного или муниципального имущества;
- охраны окружающей среды, жизни или здоровья животных и растений;
- предупреждения действий, вводящих в заблуждение приобретателей и
необходимости госконтроля за их соблюдением.

161.

Распоряжениями Правительства РФ от 6.11.2004 г. № 1421-р и от 8.11.2005 г. №
1889-р утверждена Программа разработки технических регламентов на 2004 2006 годы, которая предусматривает разработку 84 регламентов.
Указанные распоряжения отменены распоряжением № 86 от 27.01.2011 г.

162.

«Информационная безопасность. Национальные стандарты РФ»
Ю.А. Родичев Учебное пособие. Издательство «Питер», 2023
Предметные области стандартизации в сфере ИБ:
основополагающие стандарты национальной системы стандартизации
и стандартизации в области защиты информации (41 документ);
стандарты по менеджменту информационной безопасности (24 документа);
стандарты по безопасности информационно-телекоммуникационных
систем (36 документов);
оценочные стандарты (38 документов);
стандарты по безопасности в финансовой сфере (24 документа);
стандарты по биометрии (46 документов);
стандарты по криптографии (11 документов);
стандарты по интегрированным системам безопасности (32 документа);
стандарты по защите результатов интеллектуальной деятельности.

163.

Основополагающие национальные стандарты:
1. ГОСТ Р 1.1-2020 «Технические комитеты по стандартизации и проектные
технические комитеты по стандартизации. Порядок создания и деятельности»
2. ГОСТ Р 1.2-2020 «Стандарты национальные РФ. Правила разработки,
утверждения, обновления, внесения поправок и отмены»
3. ГОСТ Р 1.4-2004 «Стандарты организаций. Общие положения»
4. ГОСТ Р 1.8-2011 «Стандартизация в Российской Федерации. Стандарты
межгосударственные. Правила проведения в Российской Федерации работ по
разработке, применению, обновлению и прекращению применения».
5. ГОСТ Р 1.12-2004 «Стандартизация в РФ. Термины и определения»
6. ГОСТ 1.0-2015 «Межгосударственная система стандартизации (МГСС).
Основные положения»
7. ГОСТ Р 52069.0-2013 «Защита информации. Система стандартов. Основные
положения».
8. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».
9. ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной
безопасности в организации. Основные термины и определения».

164.

Основополагающие национальные стандарты
ГОСТ Р 1.5-2012 «Стандартизация в Российской Федерации. Стандарты
национальные. Правила построения, изложения, оформления и обозначения»
Обозначение национального стандарта РФ состоит из:
индекса «ГОСТ Р»,
регистрационного номера,
года утверждения, отделенного от номера символом тире.
Если национальный стандарт является аналогом международного, то перед
номером добавляется индекс «ИСО/МЭК»
Например:
ГОСТ Р ИСО/МЭК 15408-1 – 2012
Обозначение предварительных национальных стандартов:
ПНСТ 642-2022 «Информационные технологии. Интернет вещей
промышленный. Общие положения».
(Срок действия с 31.03.2022 до 31.03.2025)

165.

ГОСТ Р 1.2-2020 Стандарты национальные Российской Федерации.
Правила разработки, утверждения, обновления, внесения поправок и
отмены.
Стандарт устанавливает правила разработки и утверждения национальных
стандартов РФ, проведения работ по их обновлению, а также правила
осуществления отмены действующих стандартов.
Заказчиком разработки национального стандарта может быть национальный
орган РФ по стандартизации, иные заинтересованные федеральные органы
исполнительной власти, общественные объединения, юридическое или
физическое лицо, заинтересованное в его разработке.
Разработчиком национального стандарта может быть любое лицо: юридическое
или физическое, компетентность которого в отношении разработки данного
стандарта определяет заказчик этой работы.
Разработку национальных стандартов РФ осуществляют на основе применения
международных стандартов за исключением случаев, когда такое применение
признано невозможным.

166.

Разработку и утверждение национальных стандартов осуществляют в
следующей последовательности:
- организация разработки стандарта;
- разработка первой редакции проекта стандарта и ее публичное обсуждение;
- разработка окончательной редакции проекта стандарта и ее экспертиза;
- подготовка проекта стандарта к утверждению, утверждение стандарта,
его регистрация, опубликование и введение в действие.

167.

Правила проведения работ по обновлению национальных стандартов:
1. Организация работ по обновлению национального стандарта
2. Разработка изменения к национальному стандарту
3. Проведение пересмотра национального стандарта
4. Внесение поправки в национальный стандарт
Действующий национальный стандарт отменяют в следующих случаях:
а) при утверждении и введении в действие взамен данного стандарта другого
национального стандарта;
б) при принятии и введении в действие в РФ межгосударственного стандарта;
в) при полном прекращении выпуска продукции, которые осуществлялись по
данному стандарту;
г) в других случаях, когда стандарт утратил свою актуальность.
Отмену национального стандарта осуществляют с максимальным учетом
мнения заинтересованных лиц.

168.

ГОСТ Р 1.4-2004 Стандарты организаций. Общие положения.
(введен с 1.07.2005)
Стандарт устанавливает объекты стандартизации и общие положения при
разработке и применении стандартов организаций.
Стандарты организации могут разрабатываться на применяемые в данной
организации продукцию, процессы и оказываемые в ней услуги, а также на
продукцию, создаваемую и поставляемую данной организацией на внутренний
и внешний рынок, на работы, выполняемые данной организацией на стороне.
Стандарты организации не должны противоречить требованиям технических
регламентов, а также национальных стандартов.
Стандарты организации утверждает руководитель организации приказом и (или)
личной подписью на титульном листе стандарта в установленном в организации
порядке.

169.

Объектами стандартизации внутри организации могут быть:
- составные части разрабатываемой или изготавливаемой продукции;
- процессы организации и управления производством;
- процессы менеджмента;
- технологическая оснастка и инструмент;
- технологические процессы;
- услуги, оказываемые внутри организации, в том числе и социальные;
- номенклатура сырья, материалов, комплектующих изделий, применяемых в
организации;
- процессы выполнения работ на стадиях жизненного цикла продукции и др.

170.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ГОСТ Р 52069.0-2013
Защита информации. Система стандартов.
Основные положения.
Введен в действие с 1.09.2013 (взамен ГОСТ Р 52069.0-2003)
Стандарт устанавливает цель, задачи и структуру системы стандартов по
защите (некриптографическими методами) информации, объекты и аспекты
стандартизации в данной области.
Положения стандарта применяются при проведении работ по стандартизации
в области противодействия техническим разведкам, технической защиты
информации некриптографическими методами, обеспечения безопасности
информации в ключевых системах информационной инфраструктуры.
Стандарт является основополагающим национальным стандартом РФ
в области защиты (некриптографическими методами) информации.

171.

ГОСТ Р 52069.0-2013
Основные задачи системы стандартизации ЗИ:
-установление основополагающих принципов построения, требований к
составу и содержанию системы документов в области ЗИ;
-обеспечение единства терминологии в области ЗИ;
-упорядочение объектов и аспектов стандартизации в области ЗИ;
-обеспечение единства организационных и методических подходов к
проведению работ по ЗИ;
-установление требований по ЗИ и методов контроля их выполнения;
-установление общих технических требований к системе ЗИ и к услугам по ЗИ;
-установление требований к методам и методикам испытаний и оценки
качества СЗИ, к методам и методикам измерений в процессе контроля
эффективности мероприятий по ЗИ;
-установление требований к метрологическому, информационному и другим
видам обеспечения ЗИ.

172.

ГОСТ Р 52069.0-2013
Основными объектами стандартизации являются:
а) ЗИ как область деятельности (противодействие техническим разведкам,
техническая ЗИ, безопасность информации в ключевых системах
информационной инфраструктуры);
б) Объекты ЗИ (промышленные объекты, органы управления, продукция,
объекты информатизации, процессы;
в) угрозы безопасности информации и уязвимости объектов ЗИ;
г) организация и содержание работ по ЗИ;
д) методы ЗИ и методы контроля состояния ЗИ;
е) техника ЗИ (средстваЗИ, средства контроля эффективности ЗИ);
ж) услуги по ЗИ.

173.

ГОСТ Р 52069.0-2013
Аспекты стандартизации:
- термины и определения в области ЗИ;
- классификация в области ЗИ (угроз безопасности, уязвимостей, работ и
услуг по ЗИ, техники ЗИ);
- требования к системе документов в области ЗИ;
- общие технические требования по ЗИ;
- общие требования к организации и содержанию работ по ЗИ;
- общие технические требования к системе ЗИ;
- методы контроля организации и эффективности ЗИ;
- общие требования к организации, содержанию работ и результатам
оказания услуг по ЗИ.

174.

175.

ГОСТ Р 50922-2006 Защита информации. Основные термины и
определения. (введен в действие с 1.02.2008 взамен ГОСТ Р 50922-96)
Защита информации: Деятельность, направленная на предотвращение утечки
защищаемой информации, несанкционированных и непреднамеренных
воздействий на защищаемую информацию.
Правовая защита информации: Защита информации правовыми методами,
включающая в себя разработку законодательных и нормативных правовых
документов, регулирующих отношения субъектов по защите информации,
применение этих документов, а также надзор и контроль за их исполнением.
Техническая ЗИ: ЗИ, заключающаяся в обеспечении некриптографическими
Методами безопасности информации, подлежащей защите в соответствии с
действующим законодательством, с применением технических, программных
и программно-технических средств.
Физическая ЗИ: ЗИ путем применения организационных мероприятий и
совокупности средств, создающих препятствия для проникновения или
доступа неуполномоченных физических лиц к объекту защиты.
Криптографическая ЗИ: ЗИ с помощью ее криптографического
преобразования.

176.

ГОСТ Р 50922-2006
Система ЗИ: Совокупность органов и (или) исполнителей, используемой ими
техники ЗИ, а также объектов ЗИ, организованная и функционирующая по
правилам и нормам, установленным соответствующими документами в
области ЗИ.
Безопасность информации: Состояние защищенности информации, при
котором обеспечены ее конфиденциальность, доступность и целостность.
Оценка соответствия требованиям по ЗИ: Прямое или косвенное определение
степени соблюдения требований по ЗИ, предъявляемых к объекту ЗИ.
Сертификация на соответствие требованиям по безопасности информации:
Форма осуществляемого органом по сертификации подтверждения соответствия
объектов оценки требованиям по безопасности информации, установленным
техническими регламентами, стандартами или условиями договоров.
Средство контроля эффективности ЗИ: средство ЗИ, предназначенное или
используемое для контроля эффективности ЗИ.

177.

ГОСТ Р 50922-2006
Угроза: Совокупность условий и факторов, создающих потенциальную или
реально существующую опасность нарушения безопасности информации.
Уязвимость (информационной системы): свойство информационной системы,
обусловливающее возможность реализации угроз безопасности обрабатываемой
в ней информации.
Вредоносная программа: программа, предназначенная для осуществления
несанкционированного доступа к информации и (или) воздействия на
информацию или ресурсы ИС.
Средство защиты информации: техническое, программное, программнотехническое средство, вещество и (или) материал, предназначенные или
используемые для защиты информации.
Эффективность защиты информации: степень соответствия результатов
защиты информации цели защиты информации.

178.

ГОСТ Р 53114-2008 Защита информации.
Обеспечение информационной безопасности в организации.
Основные термины и определения. (Введен с 1.10.2009)
Стандарт устанавливает основные термины, применяемые при проведении
работ по стандартизации в области обеспечения ИБ в организации.
Информационная сфера: Совокупность информации, информационной
инфраструктуры, субъектов, осуществляющих сбор, распространение и
использование информации, а также системы регулирования возникающих
при этом общественных отношений.
Критически важная система информационной инфраструктуры (КСИИ):
Информационно-управляющая или информационно-телекоммуникационная
система, которая осуществляет управление или информационное обеспечение
критическим объектом или процессом, нарушение или прерывание
функционирования которой может привести к чрезвычайной ситуации со
значительными негативными последствиями.
Критический объект: Объект или процесс, нарушение непрерывности
функционирования которого может нанести значительный ущерб.

179.

ГОСТ Р 53114-2008
Объект защиты информации: информация или носитель информации или
информационный процесс, который необходимо защищать в соответствии с
целью ЗИ.
Инцидент ИБ: Любое непредвиденное или нежелательное событие, которое
может нарушить деятельность или информационную безопасность.
Виды инцидентов:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политики или рекомендаций по ИБ;
- нарушение физических мер защиты;
- неконтролируемы изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.

180.

ГОСТ Р 53114-2008
Аудит информационной безопасности организации: Систематический,
независимый и документируемый процесс получения свидетельств
деятельности организации по обеспечению ИБ и установлению степени
выполнения в организации критериев ИБ.
Оценка соответствия ИБ организации установленным требованиям:
Деятельность, связанная с прямым или косвенным определением выполнения
или невыполнения в организации установленных требований ИБ.
Аттестация АС в защищенном исполнении: Процесс комплексной проверки
выполнения заданных функций АС по обработке защищаемой информации на
соответствие требованиям стандартов или нормативных документов в области
ИБ.
Критерий обеспечения ИБ организации: Показатель, на основании которого
оценивается степень достижения цели (целей) ИБ организации.

181.

ГОСТ Р 53114-2008
Меры обеспечения информационной безопасности: Совокупность действий,
направленных на разработку и/или практическое применение способов и
средств обеспечения ИБ.
Организационные меры обеспечения информационной безопасности:
Меры обеспечения ИБ, предусматривающие установление временных,
территориальных, пространственных, правовых, методических и иных
ограничений на условия использования и режимы работы объекта
информатизации.

182.

Законодательство о лицензировании деятельности .
Согласно ГОСТ 50922-2006 «Защита информации. Основные термины и
определения»:
Лицензирование в области защиты информации – деятельность,
заключающаяся в проверке (экспертизе) возможностей юридического лица
выполнять работы в области защиты информации в соответствии с
установленными требованиями и выдаче разрешения на выполнение этих работ.
Сертификация на соответствие требованиям по безопасности информации –
форма осуществляемого органом по сертификации подтверждения соответствия
объектов оценки требованиям по безопасности информации, установленным
техническими регламентами, стандартами или условиями договоров.
Требование по защите информации – установленное правило или норма,
которая должна быть выполнена при организации и осуществлении защиты
информации, или допустимое значение показателя эффективности защиты
информации.
Декларирование соответствия – форма подтверждения соответствия продукции
требованиям технических регламентов (ГОСТ Р 53114-2008)

183.

«О лицензировании отдельных видов деятельности» № 99-ФЗ от 4.05.2011
Статья 12. Перечень видов деятельности, на которые требуются
лицензии:
1)
разработка, производство, распространение криптографических средств,
информационных систем и телекоммуникационных систем, защищенных с
использованием криптографических средств, выполнение работ, оказание услуг в
области шифрования информации, техническое обслуживание криптографических
средств, информационных систем и телекоммуникационных систем, защищенных с
использованием криптографических;
2) разработка, производство, реализация и приобретение в целях продажи специальных
технических средств, предназначенных для негласного получения информации;
3) деятельность по выявлению электронных устройств, предназначенных для
негласного получения информации;
4) разработка и производство средств защиты конфиденциальной информации;
5) деятельность по технической защите конфиденциальной информации.

184.

Законодательство о лицензировании деятельности .
Постановление Правительства РФ от 21.11.2011 № 957
«Об организации лицензирования отдельных видов деятельности»
ФСБ России:
Разработка, производство, распространение шифровальных (криптографических)
средств, информационных систем и телекоммуникационных систем, защищенных
с использованием шифровальных (криптографических) средств, выполнение
работ, оказание услуг в области шифрования информации, техническое
обслуживание шифровальных (криптографических) средств, информационных
систем и телекоммуникационных систем, защищенных с использованием
шифровальных (криптографических) средств.
Разработка, производство, реализация и приобретение в целях продажи
специальных технических средств, предназначенных для негласного получения
информации.
Деятельность по выявлению электронных устройств, предназначенных для
негласного получения информации (за исключением случая, если указанная
деятельность осуществляется для обеспечения собственных нужд).

185.

Законодательство о лицензировании деятельности .
Постановление Правительства РФ от 21.11.2011 № 957
«Об организации лицензирования отдельных видов деятельности»
ФСБ России, ФСТЭК России:
Разработка и производство средств защиты конфиденциальной информации
Примечание:
ФСБ лицензирует разработку средств, устанавливаемых на объектах
Администрации Президента, Совета Безопасности, Федерального Собрания,
Правительства, Конституционного Суда, Верховного Суда и Высшего
Арбитражного Суда Российской Федерации.
(Пост. Правит. РФ № 171 от 3.03.2012 )
ФСТЭК России
Деятельность по технической защите конфиденциальной информации

186.

Нормативные документы по лицензированию:
1.
Пост. Правительства РФ от 21.11.2011 № 957
«Об организации лицензирования отдельных видов деятельности»
2. Пост. Правительства РФ от 03.02.2012 № 79 «О лицензировании
деятельности по технической защите конфиденциальной информации»
3. Перечень контрольно-измерительного и испытательного оборудования,
средств контроля защищенности, необходимых для выполнения работ и
оказания услуг, установленных Постановлением № 79.
4. Перечень технической документации, национальных стандартов и
методических документов, необходимых для выполнения работ и оказания
услуг, установленных Постановлением № 79.
5. Пост. Правительства РФ от 3.03.2012 № 171 «О лицензировании деятельности
по разработке и производству средств защиты конфиденциальной
информации».
6. Пост. Правительства РФ от 12.04.2012 № 287 «Об утверждении Положения
о лицензировании деятельности по разработке, производству, реализации и
приобретению в целях продажи специальных технических средств,
предназначенных для негласного получения информации».

187.

Нормативные документы по лицензированию :
7. Пост. Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о
лицензировании деятельности по разработке, производству, распространению
шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств, выполнению работ, оказанию услуг в области
шифрования информации, техническому обслуживанию шифровальных
(криптографических) средств, информационных систем и телекоммуникационных
систем, защищенных с использованием шифровальных средств».
8. Пост. Правительства РФ от 15.04.1995 № 333 «О лицензировании
деятельности предприятий, учреждений и организаций по проведению работ,
связанных с использованием сведений, составляющих гос. тайну, созданием
средств защиты информации, а также с осуществлением мероприятий и (или)
оказанием услуг по защите государственной тайны».
9. Пост. Правительства РФ от 16.04.2012 № 314 "Об утверждении Положения о
лицензировании деятельности по выявлению электронных устройств,
предназначенных для негласного получения информации (за исключением
случая, если указанная деятельность осуществляется для обеспечения
собственных нужд юридического лица или индивидуального предпринимателя)".

188.

Постановлением Правительства РФ от 03.02.2012 № 79 «О лицензировании
деятельности по технической защите конфиденциальной информации»
Под технической защитой конфиденциальной информации понимается
выполнение работ и (или) оказание услуг по ее защите от НСД, от утечки по
техническим каналам, а также от специальных воздействий на такую
информацию в целях ее уничтожения, искажения или блокирования доступа.
Лицензированию подлежат следующие виды работ и услуг:
а) контроль защищенности конфиденциальной информации от утечки по
техническим каналам;
б) контроль защищенности конфиденциальной информации от НСД и ее
модификации в средствах и системах информатизации;
в) мониторинг ИБ средств и систем информатизации;
г) аттестационные испытания и аттестация на соответствие требованиям по ЗИ;
д) проектирование в защищенном исполнении средств информатизации,
помещений;
е) установка, монтаж, наладка, испытания, ремонт средств ЗИ.

189.

Постановление Правительства РФ от 03.02.2012 № 79
Лицензионные требования, предъявляемыми к соискателю лицензии:
а) наличие в штате специалистов, имеющих высшее профессиональное
образование в области технической защиты информации;
б) наличие помещений, соответствующих установленным законодательством
техническим нормам и требованиям по технической защите информации;
в) наличие контрольно-измерительного, производственного и испытательного
оборудования, соответствующего требованиям ФСТЭК;
г) наличие сертифицированных средств контроля защищенности информации от
НСД в соответствии с перечнем, утверждаемым ФСТЭК;
д) наличие автоматизированных систем, предназначенных для обработки
конфиденциальной информации, а также средств защиты такой информации,
аттестованных и (или) сертифицированных по требованиям безопасности;
е) наличие предназначенных для осуществления лицензируемого вида
деятельности программ для ЭВМ и баз данных;
ж) наличие технической документации, нац. стандартов и методических
документов в соответствии с утверждаемым ФСТЭК перечнем;
з) наличие системы производственного контроля.

190.

Постановление Правительства РФ от 03.02.2012 № 79
Для получения лицензии соискатель представляет следующие документы:
а) заявление о предоставлении лицензии;
б) копии документов, подтверждающих квалификацию специалистов по ЗИ;
в) копии документов на помещения;
г) копии технических паспортов и аттестатов соответствия защищаемых
помещений требованиям безопасности информации;
д) копии технических паспортов автоматизированных систем, предназначенных
для хранения и обработки конфиденциальной информации;
е) копии документов, подтверждающих право на программы для ЭВМ и базы
данных, планируемые к использованию;
ж) документы, содержащие сведения о наличии контрольно-измерительного,
производственного и испытательного оборудования, средств защиты
информации и средств контроля защищенности информации;
з) документы, содержащие сведения об имеющихся технической документации,
национальных стандартах и методических документах;
и) копии документов, подтверждающих наличие необходимой системы
производственного контроля.

191.

Законодательство о тайнах.
«О коммерческой тайне» № 98-ФЗ
Регулирует отношения, связанные с установлением, изменением и прекращением
режима коммерческой тайны в отношении информации, которая имеет
действительную или потенциальную коммерческую ценность.
Основные понятия:
коммерческая тайна - режим конфиденциальности информации, позволяющий ее
обладателю увеличить доходы, сохранить положение на рынке товаров, работ, услуг
или получить иную коммерческую выгоду;
информация, составляющая коммерческую тайну
обладатель информации, составляющей коммерческую тайну
доступ к информации, составляющей коммерческую тайну
передача информации, составляющей коммерческую тайну
предоставление информации, составляющей коммерческую тайну
разглашение информации, составляющей коммерческую тайну
Право на отнесение информации к информации, составляющей коммерческую
тайну, и на определение перечня и состава такой информации принадлежит
обладателю такой информации.
Обладатель информации, составляющей коммерческую тайну, имеет право
разрешать или запрещать доступ к информации, определять порядок и условия
доступа .

192.

Законодательство о тайнах
Режим коммерческой тайны не может быть установлен в отношении
Сведений (статья 5):
1) содержащихся в учредительных документах юридического лица;
2) содержащихся в документах, дающих право на осуществление
предпринимательской деятельности;
3) о составе имущества государственного или муниципального предприятия, и
об использовании ими средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной безопасности,
санитарно-эпидемиологической и радиационной обстановке, безопасности
пищевых продуктов и других факторах, оказывающих негативное воздействие
на обеспечение безопасного функционирования производственных объектов,
безопасности каждого гражданина и безопасности населения в целом;
5) о численности, о составе работников, о системе оплаты труда, об условиях
труда, и о наличии свободных рабочих мест;

193.

Законодательство о тайнах
Режим коммерческой тайны не может быть установлен в отношении
Сведений (статья 5):
6) о задолженности работодателей по выплате заработной платы и иным
социальным выплатам;
7) о нарушениях законодательства РФ и фактах привлечения к ответственности
за совершение этих нарушений;
8) об условиях конкурсов или аукционов по приватизации объектов;
9) о размерах и структуре доходов некоммерческих организаций, о размерах и
составе их имущества, об их расходах, о численности и об оплате труда их
работников;
10) о перечне лиц, имеющих право действовать без доверенности от имени
юридического лица;
11) обязательность раскрытия которых или недопустимость ограничения
доступа к которым установлена иными федеральными законами.

194.

Меры по охране конфиденциальности информации (статья 10):
1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к информации путем установления порядка обращения
с этой информацией и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к информации и (или) лиц, которым такая
информация была предоставлена или передана;
4) регулирование отношений по использованию информации работниками на
основании трудовых договоров и контрагентами на основании гражданскоправовых договоров;
5) нанесение на материальные носители, содержащие информацию,
составляющую коммерческую тайну, грифа «Коммерческая тайна»

195.

В целях охраны конфиденциальности информации работодатель
обязан (статья 11):
1) ознакомить под расписку работника с перечнем информации, составляющей
коммерческую тайну;
2) ознакомить под расписку работника с установленным режимом
коммерческой тайны и с мерами ответственности за его нарушение;
3) создать работнику необходимые условия для соблюдения им установленного
режима коммерческой тайны.
На практике работодатель должен утвердить ряд локальных нормативных
актов, регламентирующих обработку информации, содержащей коммерческую
тайну, в частности:
- Положение о коммерческой тайне;
- перечень сведений, составляющих коммерческую тайну;
- соглашение с сотрудниками о конфиденциальности информации;
- список сотрудников, допущенных к коммерческой тайне; …

196.

В целях охраны конфиденциальности информации работник обязан:
1) выполнять установленный работодателем режим коммерческой тайны;
2) не разглашать эту информацию, без его согласия не использовать эту информацию в
личных целях в течение всего срока действия режима коммерческой тайны, в том числе
после прекращения действия трудового договора;
3) возместить причиненные работодателю убытки, если работник виновен в разглашении
информации, ставшей ему известной в связи с исполнением им трудовых обязанностей;
4) передать работодателю при прекращении или расторжении трудового договора
материальные носители информации, имеющиеся в пользовании работника и
содержащие информацию, составляющую коммерческую тайну.
Нарушение настоящего Федерального закона влечет за собой ответственность:
дисциплинарную (ст. 81 в ТК РФ «разглашение охраняемой законом тайны», ст. 192
«дисциплинарные взыскания»),
гражданско-правовую (ст. 15 ГК «возмещение убытков», ст. 1472 ГК «нарушение
исключительного права на секрет производства»),
административную (ст. 13.14 КоАП «Разглашение информации с ограниченным
доступом»)
уголовную (ст.183 УК РФ «Незаконные получение и разглашение сведений,
составляющих коммерческую, налоговую или банковскую тайну)

197.

Федеральный закон «О государственной тайне» № 5485-1
Регулирует отношения, возникающие в связи с отнесением сведений к
государственной тайне, их засекречиванием или рассекречиванием и защитой в
интересах обеспечения безопасности Российской Федерации.
Основные понятия:
государственная тайна - защищаемые государством сведения в области его
военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых
может нанести ущерб безопасности Российской Федерации;
носители сведений, составляющих государственную тайну;
система защиты государственной тайны;
допуск к государственной тайне;
доступ к сведениям, составляющим государственную тайну;
гриф секретности;
средства защиты информации;
перечень сведений, составляющих государственную тайну.

198.

Статья 4 определяет полномочия органов государственной власти и должностных
лиц в области отнесения сведений к государственной тайне и их защиты:
Палаты Федерального Собрания
Органы государственной власти РФ
Органы гос. власти субъектов РФ
Органы судебной власти.
Президент РФ
Правительство РФ
Органы местного самоуправления
Статья 5. Перечень сведений, составляющих государственную тайну.
1) сведения в военной области
2) сведения в области экономики, науки и техники
3) сведения в области внешней политики и экономики
4) сведения в области разведывательной, контрразведывательной и
оперативно-розыскной деятельности
Отнесение сведений к государственной тайне осуществляется руководителями
органов государственной власти в соответствии с Перечнем должностных лиц,
наделенных полномочиями по отнесению сведений к государственной тайне
(Распоряжение Президента РФ от 16 апреля 2005 г. № 151-рп).

199.

Не подлежат отнесению к гостайне и засекречиванию сведения (статья 7):
- о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и
здоровью граждан, и их последствиях, а также о стихийных бедствиях, их
официальных прогнозах и последствиях;
-о состоянии экологии, здравоохранения, санитарии, демографии, образования,
культуры, сельского хозяйства, а также о состоянии преступности;
- о привилегиях, компенсациях и социальных гарантиях, предоставляемых
гражданам, должностным лицам, предприятиям, учреждениям и организациям;
- о фактах нарушения прав и свобод человека и гражданина;
- о размерах золотого запаса и государственных валютных резервах РФ;
- о состоянии здоровья высших должностных лиц Российской Федерации;
-о фактах нарушения законности органами государственной власти и их
должностными лицами.
Устанавливаются три степени секретности сведений, составляющих
государственную тайну, и соответствующие этим степеням грифы секретности
для носителей указанных сведений: "особой важности",
"совершенно секретно" и "секретно«.

200.

На носители сведений, составляющих государственную тайну, наносятся
Реквизиты (статья 12), включающие следующие данные:
- о степени секретности содержащихся в носителе сведений;
- об органе государственной власти, о предприятии, об учреждении,
организации, осуществивших засекречивание носителя;
- о регистрационном номере;
- о дате или условии рассекречивания сведений либо о событии, после
наступления которого сведения будут рассекречены.
К органам защиты государственной тайны относятся (статья 20):
- межведомственная комиссия по защите государственной тайны;
- федеральные органы исполнительной власти, уполномоченные в области
обеспечения безопасности, обороны, внешней разведки, противодействия
техническим разведкам и технической защиты информации, и их
территориальные органы;
- органы государственной власти, предприятия, учреждения и организации и
их структурные подразделения по защите государственной тайны.

201.

Допуск должностных лиц и граждан к гостайне предусматривает (статья 21):
- принятие на себя обязательств перед государством по нераспространению
доверенных им сведений, составляющих государственную тайну;
- письменное согласие на проведение в отношении их полномочными органами
проверочных мероприятий;
- определение видов, размеров и порядка предоставления социальных гарантий;
- ознакомление с нормами законодательства РФ о государственной тайне,
предусматривающими ответственность за его нарушение;
- принятие решения руководителем органа государственной власти,
предприятия, учреждения или организации о допуске оформляемого лица к
сведениям, составляющим государственную тайну.
Устанавливаются три формы допуска к государственной тайне,
соответствующие трем степеням секретности:
особой важности
совершенно секретным
секретным.

202.

Должностные лица и граждане, виновные в нарушении законодательства РФ
о государственной тайне, несут уголовную, административную, гражданскоправовую или дисциплинарную ответственность в соответствии с действующим
законодательством РФ:
Уголовный Кодекс РФ:
Статья 275. Государственная измена (лишение свободы на срок от 12 до 20 лет)
Статья 276. Шпионаж (лишение свободы на срок от 10 до 20 лет)
Статья 283. Разглашение государственной тайны (лишение свободы на срок
от 3 до 8 лет)
Статья 284. Утрата документов, содержащих государственную тайну
(лишение свободы на срок 3 лет)
КоАП РФ:
Статья 13.12. Нарушение правил защиты информации
Статья 13.13. Незаконная деятельность в области защиты информации
Статья 13.14. Разглашение информации с ограниченным доступом
Статья 14.49. Нарушение обязательных требований в отношении оборонной
продукции

203.

Допуск предприятий, учреждений и организаций к проведению работ,
связанных с использованием сведений, составляющих государственную тайну,
созданием средств ЗИ, а также с осуществлением мероприятий и (или)
оказанием услуг по защите государственной тайны, осуществляется путем
получения ими лицензий.
Средства защиты информации должны иметь сертификат, удостоверяющий их
соответствие требованиям по защите сведений соответствующей степени
секретности.
Организация сертификации средств защиты информации возлагается на
ФСТЭК, ФСБ, Минобороны (Пост. Правительства РФ от 26.06.1995 г. N 608
«О сертификации средств защиты информации»).
Координация работ по организации сертификации средств ЗИ возлагается
на межведомственную комиссию по защите государственной тайны.
Контроль за обеспечением защиты государственной тайны осуществляют
Президент РФ, Правительство РФ.
Надзор за соблюдением законодательства при обеспечении защиты гос.тайны
осуществляет Генеральный прокурор Российской Федерации.

204.

Нормативные документы по тайнам
1. Указ Президента РФ от 30.11.1995 № 1203 «Об утверждении перечня сведений,
отнесенных к государственной тайне»
2. Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений
конфиденциального характера»
3. Распоряжение Президента РФ от 16.04.2005 № 151-рп «О перечне
должностных лиц органов государственной власти и организаций, наделяемых
полномочиями по отнесению сведений к государственной тайне»
4. Распоряжение Президента РФ от 15.01.2010 № 24-рп
«Об утверждении перечня должностей, при замещении которых лица считаются
допущенными к государственной тайне»
5. Постановление Правительства РФ от 5 декабря 1991 г. № 35 «О перечне сведений,
которые не могут составлять коммерческую тайну»

205.

Нормативные документы по тайнам
6. Постановление Правительства РФ от 04.09.1995 № 870
«Об утверждении Правил отнесения сведений, составляющих государственную тайну,
к различным степеням секретности»
7. Постановление Правительства РФ от 22.08.1998 № 1003
«Об утверждении Положения о порядке допуска лиц, имеющих двойное гражданство,
лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и
реэмигрантов к государственной тайне»
8. Постановление Правительства РФ от 06.02.2010 № 63
«Об утверждении Инструкции о порядке допуска должностных лиц и граждан
Российской Федерации к государственной тайне»
9. Приказ ФСБ РФ от 13.11.1999 № 564 «Об утверждении Положений о системе
сертификации средств защиты информации по требованиям безопасности для
сведений, составляющих государственную тайну, и о ее знаках соответствия»
(Зарегистрировано в Минюсте РФ 27.12.1999 N 2028)
10. Постановление Правительства РФ от 03.11.1994 № 1233
«Об утверждении Положения о порядке обращения со служебной информацией
ограниченного распространения в федеральных органах исполнительной власти и
уполномоченном органе управления использованием атомной энергии»

206.

Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений
конфиденциального характера»
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина,
позволяющие идентифицировать его личность (персональные данные), за
исключением сведений, подлежащих распространению в средствах массовой
информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, а также
сведения о защищаемых лицах и мерах гос. защиты, осуществляемой в
соответствии с нормативными правовыми актами РФ.
3. Служебные сведения, доступ к которым ограничен органами государственной
власти в соответствии с федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым
ограничен в соответствии с федеральными законами (врачебная, нотариальная,
адвокатская тайна, тайна переписки, телефонных переговоров, почтовых
отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым
ограничен в соответствии с федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного
образца до официальной публикации информации о них.

207.

Распоряжение Президента РФ от 15.01.2010 № 24-рп «Об утверждении
перечня должностей, при замещении которых лица считаются
допущенными к государственной тайне»
1. Председатель Правительства РФ и его заместители.
2. Генеральный прокурор РФ.
3. Руководитель Администрации Президента РФ.
4. Секретарь Совета Безопасности РФ.
5. Руководитель Аппарата Правительства РФ.
6. Председатель Следственного комитета РФ.
7. Федеральный министр.
8. Председатель Центральной избирательной комиссии РФ.
9. Председатель Счетной палаты РФ.
10. Председатель Центрального банка РФ.
11. Президент Российской академии наук.
12. Руководитель (директор) федеральной службы, федерального агентства.
13. Высшее должностное лицо субъекта РФ.
14. Уполномоченный по правам человека в РФ.
15. Руководитель организации, наделенной полномочиями осуществлять от
имени РФ государственное управление в установленной сфере
деятельности.

208.

Постановление Правительства РФ от 04.09.1995 № 870 «Об утверждении
Правил отнесения сведений, составляющих государственную тайну, к
различным степеням секретности»
К сведениям особой важности следует относить сведения в области военной,
внешнеполитической, экономической, научно-технической, разведывательной,
контрразведывательной и оперативно-розыскной деятельности, распространение
которых может нанести ущерб интересам Российской Федерации в одной или
нескольких из перечисленных областей.
К совершенно секретным сведениям следует относить сведения в области военной,
внешнеполитической, экономической, научно-технической, разведывательной,
контрразведывательной и оперативно-розыскной деятельности, распространение
которых может нанести ущерб интересам министерства (ведомства) или отрасли
экономики Российской Федерации в одной или нескольких из перечисленных
областей.
К секретным сведениям следует относить все иные сведения из числа сведений,
составляющих государственную тайну. Ущербом безопасности Российской Федерации
в этом случае считается ущерб, нанесенный интересам предприятия, учреждения или
организации в военной, внешнеполитической, экономической, научно-технической,
разведывательной, контрразведывательной или оперативно-розыскной области
деятельности.

209.

210.

Постановление Правительства РФ от 03.11.1994 № 1233
«Об утверждении Положения о порядке обращения со служебной
информацией ограниченного распространения в федеральных органах
исполнительной власти и уполномоченном органе управления
использованием атомной энергии»
Положение определяет общий порядок обращения с документами и другими
материальными носителями информации, содержащими служебную информацию
ограниченного распространения.
К служебной информации ограниченного распространения относится
несекретная информация, касающаяся деятельности организаций, ограничения
на распространение которой диктуются служебной необходимостью.
На документах (в необходимых случаях и на их проектах), содержащих
служебную информацию ограниченного распространения, проставляется
пометка «Для служебного пользования».

211.

Не могут быть отнесены к служебной информации ограниченного
распространения:
- акты законодательства, устанавливающие правовой статус гос. органов,
организаций, общественных объединений, а также права, свободы и
обязанности граждан, порядок их реализации;
- сведения о чрезвычайных ситуациях, опасных природных явлениях и
процессах, экологическая, гидрометеорологическая, гидрогеологическая,
демографическая, санитарно-эпидемиологическая и другая информация,
необходимая для обеспечения безопасного существования населенных пунктов,
граждан и населения в целом, а также производственных объектов;
- описание структуры органа исполнительной власти, его функций, направлений
и форм деятельности, а также его адрес;
- порядок рассмотрения и разрешения заявлений, а также обращений граждан и
юридических лиц; решения по заявлениям и обращениям граждан и юрид. лиц,
рассмотренным в установленном порядке;
- сведения об исполнении бюджета и использовании других гос. ресурсов, о
состоянии экономики и потребностей населения;
- документы, накапливаемые в открытых фондах библиотек и архивов,
инф. системах организаций, необходимые для реализации прав, свобод и
обязанностей граждан.

212.

Руководитель органа исполнительной власти определяет:
- категории должностных лиц, уполномоченных относить служебную
информацию к разряду ограниченного распространения;
- порядок передачи служебной информации ограниченного распространения
другим органам и организациям;
- порядок снятия пометки "ДСП" с носителей информации ограниченного
распространения;
- организацию защиты информации ограниченного распространения.
Должностные лица, принявшие решение об отнесении служебной информации к
разряду ограниченного распространения, несут персональную ответственность
за обоснованность принятого решения.
За разглашение служебной информации ограниченного распространения, а
также нарушение порядка обращения с документами, содержащими такую
информацию, работник организации может быть привлечен к дисциплинарной
или иной предусмотренной законодательством ответственности.

213.

Документы с пометкой "Для служебного пользования":
- печатаются в машинописном бюро. На обороте последнего листа каждого
экземпляра документа машинистка должна указать количество отпечатанных
экземпляров, фамилию исполнителя, свою фамилию и дату печатания.
Отпечатанные и подписанные документы вместе с черновиками передаются для
регистрации работнику, осуществляющему их учет. Черновики уничтожаются
этим работником с отражением факта уничтожения в учетных формах;
- учитываются, как правило, отдельно от несекретной документации;
- пересылаются сторонним организациям фельдъегерской связью, заказными
или ценными почтовыми отправлениями;
- размножаются только с письменного разрешения соответствующего
руководителя. Учет размноженных документов осуществляется поэкземплярно;
- хранятся в надежно запираемых и опечатываемых шкафах.

214.

Законодательство об электронной подписи.
Базовый закон – «Об электронной подписи» от 6.04.2011 № 63-ФЗ.
Утратил силу «Об электронной цифровой подписи» от 10.01.2002 № 1-ФЗ.
Электронная подпись - информация в электронной форме, которая
присоединена к другой информации в электронной форме (подписываемой
информации) или иным образом связана с такой информацией и которая
используется для определения лица, подписывающего информацию.
Ключ электронной подписи - уникальная последовательность символов,
предназначенная для создания электронной подписи.
Ключ проверки электронной подписи - уникальная последовательность
символов, однозначно связанная с ключом электронной подписи и
предназначенная для проверки подлинности электронной подписи.
Удостоверяющий центр - юридическое лицо или индивидуальный
предприниматель, осуществляющие функции по созданию и выдаче
сертификатов ключей проверки электронных подписей, а также иные функции,
предусмотренные настоящим Федеральным законом.

215.

Нормативные документы по электронной подписи
1. Пост. Правительства РФ от 25.01.2013 № 33 «Об использовании
простой электронной подписи при оказании государственных и муниципальных услуг».
2. Пост. Правительства РФ от 25.06.2012 № 634 «О видах электронной подписи,
использование которых допускается при обращении за получением государственных и
муниципальных услуг».
3. Приказ ФСБ РФ от 27.12.2011 № 795 «Об утверждении Требований к форме
квалифицированного сертификата ключа проверки электронной подписи».
(Зарегистрировано в Минюсте РФ 27.01.2012 N 23041)
4. Приказ ФСБ РФ от 27.12.2011 № 796 «Об утверждении Требований к средствам
электронной подписи и Требований к средствам удостоверяющего центра»
(Зарегистрировано в Минюсте РФ 09.02.2012 N 23191)
5. ГОСТ Р 34.10-2012 Информационная технология. Криптографическая защита
информации. Процессы формирования и проверки электронной цифровой подписи.
6. Приказ ФСБ РФ от 09.02.2005 № 66 (ред. от 12.04.2010) «Об утверждении Положения о
разработке, производстве, реализации и эксплуатации шифровальных (криптографических)
средств защиты информации (Положение ПКЗ-2005)» (Зарегистрировано в Минюсте РФ
03.03.2005 N 6382).

216.

Приказ ФСБ РФ от 27.12.2011 № 796 «Об утверждении Требований к
средствам электронной подписи и Требований к средствам
удостоверяющего центра»
ТРЕБОВАНИЯ К СРЕДСТВАМ ЭЛЕКТРОННОЙ ПОДПИСИ:
При создании ЭП средства ЭП должны:
-показывать лицу, подписывающему электронный документ, содержание
информации, которую он подписывает;
-создавать ЭП только после подтверждения лицом, подписывающим
электронный документ, операции по созданию ЭП;
-однозначно показывать, что ЭП создана.
При проверке ЭП средства ЭП должны:
-показывать содержание электронного документа, подписанного ЭП;
-показывать информацию о внесении изменений в подписанный ЭП
электронный документ;
-указывать на лицо, с использованием ключа ЭП которого подписаны
электронные документы.

217.

Приказ ФСБ РФ от 27.12.2011 № 796
Средства ЭП должны противостоять угрозам, представляющим собой
целенаправленные действия с использованием аппаратных и (или)
программных средств с целью нарушения безопасности защищаемой
средством ЭП информации (атака).
В зависимости от способностей противостоять атакам средства ЭП
подразделяются на классы: КС1, КС2, КС3, КВ1, КВ2, КА1.
Средство ЭП должно проводить аутентификацию лиц, осуществляющих
доступ к средству ЭП.
При разработке средств ЭП должны использоваться криптографические
алгоритмы, утвержденные в качестве государственных стандартов или
имеющие положительное заключение ФСБ.
В средстве ЭП должен быть реализован механизм
(процедура) контроля целостности средства ЭП.

218.

Приказ ФСБ РФ от 27.12.2011 № 796
ТРЕБОВАНИЯ К СРЕДСТВАМ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА:
К средствам УЦ в части их разработки, производства, реализации и эксплуатации
предъявляются требования, закрепленные Положением ПКЗ-2005.
Средства УЦ должны противостоять угрозам, представляющим собой
целенаправленные действия с использованием аппаратных и (или) программных
средств с целью нарушения инженерно-технической и криптографической
безопасности.
В зависимости от способностей противостоять атакам средства УЦ
подразделяются на классы: КС1, КС2, КС3, КВ1, КВ2, КА1.
Идентификация и аутентификация включают
в себя распознавание пользователя средств УЦ,
члена группы администраторов средств УЦ или
процесса и проверку их подлинности.

219.

Приказ ФСБ РФ от 27.12.2011 № 796
ТРЕБОВАНИЯ К СРЕДСТВАМ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА:
Приказ также устанавливает:
Требования к ПО средств УЦ
Требования к АС УЦ
Требования к ролевому разграничению
(членов группы администраторов)
Требования к целостности средств УЦ
Требования к управлению доступом
Требования к идентификации и аутентификации
Требования к защите данных, поступающих (экспортируемых) в (из) УЦ
Требования к регистрации событий
Требования по надежности и устойчивости функционирования средств УЦ
Требования к ключевой информации
Требования к резервному копированию и восстановлению работоспособности
средств УЦ

220.

Приказ ФСБ РФ от 27.12.2011 № 796
ТРЕБОВАНИЯ К СРЕДСТВАМ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА:
Приказ также устанавливает:
Требования к созданию и аннулированию сертификатов ключей проверки ЭП
Требования к структуре сертификата ключа проверки ЭП и списка
аннулированных сертификатов
Требования к реестру сертификатов ключей проверки ЭП и обеспечению
доступа к нему
Требования к проверке ЭП в сертификате ключа проверки ЭП
Для ограничения возможностей по построению каналов атак на средства УЦ с
использованием каналов связи должны применяться средства межсетевого
экранирования.
Должны быть определены требования по
защите средств УЦ от компьютерных вирусов
и компьютерных атак и указаны в ТЗ на
разработку (модернизацию) средств УЦ.

221.

ТЕСТ 1