Слайд 1 «Направления совершенствования нормативных и методических документов в области защиты информации»
Добрый день, уважаемые коллеги, представлю Вашему вниманию информацию о наших перспективах и планах по разработке нормативных и методических документов в области защиты информации.
Слайд 2
В 2013 году ФСТЭК России изданы приказы:
приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Оба приказа в соответствии с Правилами подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации, утвержденными постановлением Правительства Российской Федерации от 13 августа 1997 г. № 1009 зарегистрированы Министерством юстиции Российской Федерации.
Основанием для разработки и издания указанных нормативных правовых актов явились следующие Федеральные законы:
приказ № 17 издан во исполнение части 5 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
приказ № 21 издан во исполнение части 4 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Справочно:
При разработке новых нормативных правовых актов ФСТЭК России были учтены недостатки предыдущих документов, в соответствии с которыми мы осуществляли защиту информации конфиденциального характера, а также обеспечивали безопасность персональных данных в государственных информационных системах, напомню эти документы:
основной документом ФСТЭК России являлся нормативный методический документ Специальные требования и рекомендации по технической защите конфиденциальной информации, утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. № 282 (или СТР-К);
в части защиты конфиденциальной информации от несанкционированного доступа применялся руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
В соответствии с указанными документами осуществлялась классификация АС, выполнялись требования по защите информации в части подсистем разграничения доступа, контроля целостности, регистрации событий безопасности, проводилась аттестация АС на соответствие строго установленным требованиям безопасности информации.
Недостатки указанного подхода заключались в том, что он не позволял учитывать в полной мере актуальные угрозы безопасности информации, а также структурно-функциональные характеристики информационной системы.
Слайд 3
Итак, на слайде приведена структура Требований, утвержденных приказом № 17, Требования состоят из следующих разделов:
Общие положения