34.Примеры технических и инженерно-технических средств защиты информации.

Инженерно-техническая защита информации обеспечивает защиту информации с помощью инженерных конструкций и технических средств.

1.Активным развитием средств добычи информации, которые, в том числе, позволяют получать несанкционированный доступ к данным на расстоянии.

2.Оснащением жилых, производственных и служебных помещений радио- и электроаппаратурой, неполадки в работе которых нередко способствуют утечке конфиденциальной информации.

3.Достижениями микроэлектроники (аудиожучки, миникамеры), которые стали доступны обычным пользователям и могут быть использованы для нелегальной добычи информации из скрытых источников.

Использование надежных технических средств защиты информации становится единственным способом предотвратить утечку данных. Именно поэтому будет полезным узнать, какие методы защиты информации являются наиболее надежными и целесообразными в применении.

Основные виды инженерно-технической защиты информации

Существует классификация инженерно-технической защиты информации по виду, объектам воздействия и используемым технологиям. Выделяют следующие виды средств инженерно-технической защиты:

Физические. Используются с целью решения задач по охране предприятия, наблюдению за территорией и помещениями, осуществлению контролируемого доступа в здание. К ним относят охранно-пожарные системы, аварийное и локальное освещение, а также охранное телевидение. Физические средства защиты информации можно разделить на предупредительные, обнаруживающие и ликвидирующие угрозы, активно используемые сегодня руководителями многих предприятий.

Аппаратные. К ним относятся электронные и механические устройства, предназначенные для инженерно-технической защиты информации и для противодействия шпионажу. Их главная задача – выявление каналов утечки информации, их локализация (обнаружение) и нейтрализация. Примерами таких средств могут служить комплексы для поиска сетевых радиопередатчиков, телефонных закладок и

радиомикрофонов, устанавливаемых с целью секретного прослушивания.

Программные. Включают в себя системы по защите информации, обеспечивающие защиту секретных данных: проектов, чертежей, стратегических и тактических задач фирмы, финансовых и бухгалтерских данных, сведений о работающих сотрудниках.

Криптографические. Специальные системы шифрования и кодировки, которые используются для защиты информации при телефонных переговорах, рабочих встречах, в рамках совещаний. Принцип работы криптографии состоит в применении математических моделей кодировки сообщений, что обеспечивает эффективную защиту информации от несанкционированного изменения и использования злоумышленниками.

Благодаря техническим средствам, обеспечивающим защиту информации, предприятие может не только детально проработать и протестировать новые разработки и технологии, но и успеть запатентовать их. ИТЗ снижает риск промышленного шпионажа и плагиата нового изделия, поэтому защита компьютерной информации – первостепенная задача для любой компании.

ИТЗ также можно классифицировать следующим образом:

по способу реализации;

по классам средств злоумышленника;

по масштабу охвата;

по конкретным объектам, на которые направлено воздействие;

по характеру мероприятий;

по классу систем для инженерной защиты.

Технические средства защиты информации

Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:

резервное копирование и удаленное хранение наиболее важных массивов данных в компьютерной системе – на регулярной основе;

дублирование и резервирование всех подсистем сетей, которые имеют значение для сохранности данных;

создание возможности перераспределять ресурсы сети в случаях нарушения работоспособности отдельных элементов;

обеспечение возможности использовать резервные системы электропитания;

обеспечение безопасности от пожара или повреждения оборудования водой;

установка программного обеспечения, которое обеспечивает защиту баз данных и другой информации от несанкционированного доступа.

В комплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, например, такие практические способы, как оборудование помещения камерами и сигнализацией.

35.Виды лицензируемой деятельности по технической защите конфиденциальной информации.

Лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается документом,

выданным лицензирующим органом...

При осуществлении лицензируемого вида деятельности лицензированию подлежат:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:

в средствах и системах информатизации;

в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;

в помещениях со средствами (системами), подлежащими защите;

в помещениях, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения);

б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

в) услуги по мониторингу информационной безопасности средств и систем информатизации;

г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:

средств и систем информатизации;

помещений со средствами (системами) информатизации, подлежащими защите;

защищаемых помещений;

д) работы и услуги по проектированию в защищенном исполнении:

средств и систем информатизации;

помещений со средствами (системами) информатизации,

подлежащими защите;

защищаемых помещений;

е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации,

защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных

(программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации,

программных (программно-технических) средств контроля эффективности защиты информации).

36.Виды лицензируемой деятельности по разработке и производству средств защиты конфиденциальной информации.

а) разработка средств защиты конфиденциальной информации, в том числе: технических средств защиты информации; защищенных технических средств обработки информации;

технических средств контроля эффективности мер защиты информации; программных (программно-технических) средств защиты информации; защищенных программных (программно-технических) средств обработки информации; программных (программно-технических) средств контроля защищенности информации;

б) производство средств защиты конфиденциальной информации, в том числе:

технических средств защиты информации; защищенных технических средств обработки информации;

технических средств контроля эффективности мер защиты информации; программных (программно-технических) средств защиты информации; защищенных программных (программно-технических) средств обработки информации; программных (программно-технических) средств контроля защищенности информации.

37.Нормативные документы, регламентирующие сертификацию средств защиты информации.

Постановление Правительства РФ от 26.06.1995 N 608 (ред. от 21.04.2010) "О сертификации средств защиты информации"

Постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения».

Указ Президента РФ от 16.08.2004 N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю"

Статья 28 Закона Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне»

Статья 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании»

38.Виды средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ.

https://base.garant.ru/181478/9169543187b82c93518e209701f4491b/#friends

39.Законы и стандарты в области криптографической защиты информации.

Стандарты и законы в области криптографии:

•ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».

•ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». (ред.)

ГОСТ Р 34.11-2012. «Информационная технология. Криптографическая защита информации. Функция хэширования».

• Федеральный закон от 06.04.2011 № 63ФЗ «Об электронной подписи».

40.Основные определения в области криптографической защиты информации.

Криптографическая защита информации – защита информации с помощью её криптографического преобразования.

Криптографическое преобразование – преобразование данных при помощи шифрования и (или) выработки имитовставки.

Ключ – конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразования.

СКЗИ – средство защиты информации, реализующее алгоритмы криптографического преобразования информации.

Криптосредство – шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих гостайну.

41.Сферы применения симметричного и асимметричного шифрования.

Это один из первых алгоритмов кодирования (симметричный), разработанных человеком. При шифровании таким методом ключ, используемый для зашифровки данных, совпадает с ключом для их расшифровки. Отсюда и название — симметричное. Алгоритм подходит для передачи больших объемов зашифрованной информации в связи с высокой скоростью ее шифрования и дешифрования.

В системе с ассиметричным шифрованием используют два пароля – открытый и закрытый ключи, связанные определенным алгоритмом. Лучшим примером такого шифрования является Ваш вход (главного бухгалтера или другого уполномоченного лица) в банк-клиент. Сначала Вы получаете открытый ключ по SMS и вводите его в систему, после чего вводите закрытый ключ (возможно, он подтягивается автоматически с сервера), который используется для расшифровки Ваших данных в системе и для подтверждения электронной цифровой подписи (ЭЦП).

Вход на сайт, создание цифровых подписей и прочие действия, которые должны идентифицировать пользователя в системе.

•Хэш-код – строка бит, являющаяся выходным результатом хэш-функции.

•Хэш-функция – функция, отображающая строки бит в строки бит фиксированной длины и удовлетворяющая следующим свойствам:

1.по данному значению функции сложно вычислить исходные данные, отображаемые в это значение;

2.для заданных исходных данных сложно вычислить другие исходные данные, отображаемые в то же значение функции;

3.сложно вычислить какую-либо пару исходных данных, отображаемые в одно и то же значение.

Электронная подпись

•Электронная подпись – строка бит, полученная в процессе формирования подписи.

•Процесс формирования подписи – процесс, в качестве исходных данных которого используются сообщение, ключ подписи и параметры схемы ЭЦП, а в результате формируется цифровая подпись.

•Процесс проверки подписи - процесс, в качестве исходных данных которого используются подписанное сообщение, ключ проверки подписи и параметры схемы ЭЦП, результатом которого является заключение о правильности или ошибочности цифровой подписи.

•Подписанное сообщение – набор элементов данных, состоящий из сообщения и дополнения, являющегося частью сообщения.

•Параметр схемы ЭЦП – элемент данных, общий для всех субъектов схемы цифровой подписи, известный или доступный всем этим субъектам.

Ключи электронной подписи

• Ключ подписи – элемент секретных данных, специфичный для субъекта и используемый только данным субъектом в процессе формирования цифровой подписи.

• Ключ проверки подписи – элемент данных, математически связанный с ключом подписи и используемый проверяющей стороной в процессе проверки цифровой подписи.

43.Виды лицензируемой деятельности по криптографической защите информации.

Лицензируемая деятельность

Постановление Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о лицензировании деятельности по разработке,

производству,

распространению шифровальных (криптографических) средств,

информационных систем и телекоммуникационных систем,

защищенных с использованием шифровальных (криптографических) средств, выполнению работ,

оказанию услуг в области шифрования информации,

техническому обслуживанию шифровальных (криптографических) средств,

информационных систем и телекоммуникационных систем,

защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств,

информационных систем и телекоммуникационных систем,

защищенных с использованием шифровальных (криптографических) средств,

осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

Информация взята отсюда:

Лекция 7 - https://sdo.tusur.ru/mod/resource/view.php?id=35949 стр. 24-28

44.Требования по сертификации криптографических средств защиты информации.

•Организация и обеспечение безопасности обработки с использованием шифровальных (криптографических) средств персональных данных.

•Порядок обращения с криптосредствами и криптоключами к ним.

Мероприятия при компрометации криптоключей.

• Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним.

Типовые требования...

•Организация и обеспечение безопасности обработки с использованием шифровальных (криптографических) средств персональных данных.

•Порядок обращения с криптосредствами и криптоключами к ним.

Мероприятия при компрометации криптоключей.

• Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним.

45.Нормативные документы ФСБ России по защите персональных данных.

«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утв. ФСБ России 21 февраля 2008 года № 149/6/6- 622.

К типовым требованиям:

•Организация и обеспечение безопасности обработки с использованием шифровальных (криптографических) средств персональных данных.

•Порядок обращения с криптосредствами и криптоключами к ним. Мероприятия при компрометации криптоключей.

•Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним.

«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утв. ФСБ России 21 февраля 2008 года № 149/54-144.

К методическим рекомендациям:

•Методология формирования модели угроз.

•Методология формирования модели угроз верхнего уровня.

•Описание форм представления персональных данных.

•Методология формирования модели нарушителя.

•Требования к контролю встраивания криптосредства.

46.Методы программно-аппаратной защиты информации.

Программно-аппаратные средства защиты

Программно-аппаратные средства защиты — это способы контроля оборудования и программных средств от взлома, перехвата информации,

несанкционированного подключения третьих лиц. Программные и технические средства защиты информации необходимы там, где утечка данных и ценной информации влечет за собой серьезные финансовые,

репутационные, производственные риски для компании.

Средства защиты можно разбить на следующие группы:

1.Идентификация и аутентификация.

2.Управление доступом;

3.Протоколирование и аудит;

4.Криптография;

5.Экранирование.

[По поводу этого вопроса, считаю, что нужно дождаться лекции, где он об этом будет говорить конкретнее, инфа взята отсюда: https://scienceforum.ru/2020/article/2018020091]

47.Примеры средств программно-аппаратной защиты информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Идентификатор доступа – уникальный признак субъекта или объекта доступа.

Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.

В качестве идентификатора может использоваться запоминаемый код,

биометрический признак или вещественный код. Идентификатор,

использующий вещественный код – предмет, в который (на который) с

помощью специальной технологии занесен идентификационный признак в виде кодовой информации (карты, электронные ключи,

брелоки и др. устройства).

Пароль – идентификатор субъекта доступа, который является его

(субъекта) секретом.

Биометрия – автоматические методы, используемые для распознавания личности или подтверждения заявленной личности человека на основе физиологических или поведенческих характеристик.

Управление доступом – предотвращение несанкционированного использования какого-либо ресурса, включая предотвращение использования ресурса неполномочным способом.

Система разграничения доступа – совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или АС.

Правила разграничения доступа – правила, регламентирующие разграничение доступа субъектов доступа к объектам доступа в АС.

Матрица доступа – таблица, отображающая правила разграничения доступа.

Дискреционное управление доступом – разграничение доступа между поименованными субъектами и поименованными объектами.

Субъект с определённым правом доступа может передать это право любому другому субъекту.

48.Виды сертификатов соответствия средств защиты информации.

1)Сертификация ФСТЭК - процедура получения документа, подтверждающего, что средство защиты информации соответствует требованиям нормативных и

методических документов ФСТЭК России.

2) Сертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов, документам по стандартизации или условиям договоров

http://www.consultant.ru/law/podborki/vidy_i_shemy_sertifikacii_sredstv_zaschit y_informacii/

49.Нормативные документы ФСТЭК России по сертификации автоматизированных систем и средств вычислительной техники.

Сертификат подтверждает, что продукт соответствует требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 5 классу защищенности Продукт может использоваться для создания автоматизированных систем до класса защищенности и в информационных системах персональных данных

50.Нормативные документы ФСТЭК России по защите персональных данных.

Приказ ФСТЭК от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Нормативный документ ФСТЭК: "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года

Нормативный документ ФСТЭК: "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года

51.Нормативные документы ФСТЭК России по сертификации средств защиты информации на основе профилей защиты.

https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po- sertifikatsii/120-normativnye-dokumenty

52.Требования ФСТЭК России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

НО ЕЩЕ УТОЧНИТЬ!!

53.Требования ФСТЭК России по обеспечению безопасности государственных информационных систем.

Формирование требований к защите информации, содержащейся в информационной системе

14. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком).

Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (далее - ГОСТ Р 51583) и ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" (далее - ГОСТ Р 51624) и в том числе включает:

принятие решения о необходимости защиты информации, содержащейся в информационной системе;

классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);

определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;

определение требований к системе защиты информации информационной системы.

14.1.При принятии решения о необходимости защиты информации, содержащейся в информационной системе, осуществляется:

анализ целей создания информационной системы и задач, решаемых этой информационной системой;

определение информации, подлежащей обработке в информационной системе;

анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;

принятие решения о необходимости создания системы защиты информации информационной системы, а также определение целей и задач защиты информации в информационной системе, основных этапов создания системы защиты информации информационной системы и функций по обеспечению защиты информации, содержащейся в информационной системе, обладателя информации (заказчика), оператора

иуполномоченных лиц.

14.2.Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый).

Устанавливаются три класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс - третий, самый высокий - первый. Класс защищенности информационной системы определяется в соответствии с приложением N 1 к настоящим Требованиям.

(в ред. Приказа ФСТЭК России от 15.02.2017 N 27)

Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов (составных частей). Требование к классу защищенности включается в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" (далее - ГОСТ 34.602), ГОСТ Р 51583 и ГОСТ Р 51624.

Класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.

Результаты классификации информационной системы оформляются актом классификации.

Класс защищенности информационной системы, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, <1> не должен быть выше класса защищенности информационно-телекоммуникационной инфраструктуры центра обработки данных.

(абзац введен Приказом ФСТЭК России от 28.05.2019 N 106)

--------------------------------

<1> Пункт 5.3 Методических указаний по осуществлению учета информационных систем и компонентов информационнотелекоммуникационной инфраструктуры, утвержденных приказом Минкомсвязи России от 31 мая 2013 г. N 127 (зарегистрирован Минюстом России 5 ноября 2013 г., регистрационный N 30318), с учетом изменений, внесенных приказом Минкомсвязи России от 15 июня 2016 г. N 266 (зарегистрирован Минюстом России 14 июля 2016 г., регистрационный N

42853).

(сноска введена Приказом ФСТЭК России от 28.05.2019 N 106)

14.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

(в ред. Приказа ФСТЭК России от 15.02.2017 N 27)

В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 53, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; 2015, N 4, ст. 641; 2016, N 1, ст. 211) (далее - банк данных угроз безопасности информации

ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.

(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)

При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.

При определении угроз безопасности информации в информационной системе, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны учитываться угрозы безопасности информации, актуальные для информационно-телекоммуникационной инфраструктуры центра обработки данных.

(абзац введен Приказом ФСТЭК России от 28.05.2019 N 106)

По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.

Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и

экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818).

14.4. Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации.

Требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624, и должны в том числе содержать:

цель и задачи обеспечения защиты информации в информационной системе;

класс защищенности информационной системы;

перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;

перечень объектов защиты информационной системы;

требования к мерам и средствам защиты информации, применяемым в информационной системе;

стадии (этапы работ) создания системы защиты информационной системы;

(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)

требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;

(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)

функции заказчика и оператора по обеспечению защиты информации в информационной системе;

(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)

требования к защите средств и систем, обеспечивающих функционирование информационной системы (обеспечивающей инфраструктуре);

(абзац введен Приказом ФСТЭК России от 15.02.2017 N 27)

требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-

телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых

уполномоченным лицом для обработки информации.

При определении требований к системе защиты информации информационной системы учитываются положения политик обеспечения информационной безопасности обладателя информации (заказчика), а также политик обеспечения информационной безопасности оператора и уполномоченного лица в части, не противоречащей политикам обладателя информации (заказчика).

(в ред. Приказа ФСТЭК России от 15.02.2017 N 27)

В случае создания информационной системы, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, дополнительно определяются требования по защите информации, подлежащие реализации в информационно-телекоммуникационной инфраструктуре центра обработки данных.

(абзац введен Приказом ФСТЭК России от 28.05.2019 N 106)

https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-prikazy/702- prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17

54.Требования ФСТЭК России по обеспечению безопасности систем

критической информационной инфраструктуры.

ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ

КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

I.Общие положения

1.Настоящие Требования разработаны в соответствии с Федеральным законом от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и направлены на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры Российской Федерации (далее – значимые объекты, критическая информационная инфраструктура) при проведении в отношении них компьютерных атак.

2.Действие настоящих Требований распространяется на информационные системы, автоматизированные системы управления, информационнотелекоммуникационные сети, которые отнесены к значимым объектам критической информационной инфраструктуры в соответствии со статьей 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

3.По решению субъекта критической информационной инфраструктуры настоящие Требования могут применяться для обеспечения безопасности объектов критической информационной инфраструктуры, не отнесенных к значимым объектам.

4.Обеспечение безопасности значимых объектов, в которых обрабатывается информация, составляющая государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.

5.Для обеспечения безопасности значимых объектов, являющихся информационными системами персональных данных, настоящие Требования применяются с учетом Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

Для обеспечения безопасности значимых объектов, являющихся государственными информационными системами, настоящие Требования применяются с учетом Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17" (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933).

6.Безопасность значимых объектов обеспечивается субъектами критической информационной инфраструктуры в рамках функционирования систем безопасности значимых объектов, создаваемых субъектами критической информационной инфраструктуры в соответствии со статьей 10 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

II.Требования к обеспечению безопасности в ходе создания, эксплуатации и вывода из эксплуатации значимых объектов

7.Обеспечение безопасности значимых объектов является составной частью работ по созданию (модернизации, при которой изменяется архитектура значимого объекта, в том числе подсистема его безопасности, в соответствии с отдельным техническим заданием на модернизацию значимого объекта и (или) техническим заданием (частным техническим заданием) на модернизацию подсистемы безопасности значимого объекта (далее - модернизация), эксплуатации и вывода из эксплуатации значимых объектов. Меры по обеспечению безопасности значимых объектов принимаются на всех стадиях (этапах) их жизненного цикла.

8.На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:

а) установление требований к обеспечению безопасности значимого объекта;

б) разработка организационных и технических мер по обеспечению безопасности значимого объекта;

в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие;

г) обеспечение безопасности значимого объекта в ходе его эксплуатации;