Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4605 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Дальневосточный государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Смирнов - Методы и средства ЗКИ / Лекция №6 / материалы ФСТЭК / Совершенствование НПА ФСТЭК России.doc
Скачиваний:
78
Добавлен:
20.02.2016
Размер:
113.66 Кб
Скачать
►Содержание►

Раздел 2. Требования к мерам защиты информации в гис

Приложение 1. Определения класса защищенности ГИС

Приложение 2. Состав мер защиты информации для классов защищенности

Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении.

Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы и операторов государственных информационных систем.

В Требованиях к организации защиты информации в ГИС определено, что защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатациипутем принятия организационных и технических мерзащиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы.

Слайд 4

На следующем слайде приведена структура приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Приказ содержит два раздела: общие положения, состав и содержание мер по обеспечению безопасности персональных данных.

Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Безопасность персональных данных при их обработке в информационной системе персональных данных обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.

Слайд 5

В связи с изданием указанных приказов, учитывая характер наиболее часто обсуждаемых вопросов, в том числе в сети «Интернет», с учетом поступивших вопросов, а также в целях разъяснения отдельных положений указанных приказов ФСТЭК России, было разработано и размещено на официальном сайте ФСТЭК России Информационное сообщение по вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах от 15 июля 2013 г. № 240/22/2637.

Слайд 6

В рамках полномочий по методическому руководству в области технической защиты информации, а также в целях реализации Требований, утвержденных приказом № 17, в настоящее время в ФСТЭК России продолжается работа по разработке методических документов по описанию содержания мер защиты информации в информационных системах и порядку моделирования угроз безопасности информации в информационных системах.

11 февраля 2014 г утвержден и размещен на официальном сайте ФСТЭК России методический документ «Меры защиты информации в государственных информационных системах».

Документ детализирует организационные и технические меры защиты информации, принимаемые в государственных информационных системах в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, а также определяет содержание мер защиты информации и правила их реализации.

Слайд 7

В прошлом году ФСТЭК России, решая задачу в части разработки требований по защите информации в сложных автоматизированных системах, а именно автоматизированных системах, построенных с использованием суперкомпьютерных технологий разработаны и утверждены «Временные требования по защите информации, содержащей сведения, составляющие государственную тайну, в автоматизированных системах, созданных с использованием суперкомпьютерных технологий».

Настоящий документ устанавливает классификацию автоматизированных систем, создаваемых с использованием суперкомпьютерных технологий, и требования по защите информации для различных классов этих систем. Причем речь идет о требованиях заданных в РД АС, но адаптированных под особенности функционирования АС созданных с помощью указанных технологий.

Слайд 8

Уважаемые коллеги!

В соответствии с поручением Президента Российской Федерации от 13.08.2013 № Пр-1921 ФСТЭК России в пределах своих полномочий подготовлен проект приказа «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»(далее – Требования), который размещен на официальном сайте ФСТЭК России.

Особенностью данного документа является то, что

Требования не распространяются на защиту информации, составляющей государственную тайну, при ее обработке в автоматизированных системах управления.

Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, корпоративные структуры, созданные в соответствии с законодательством Российской Федерации, и организации в пределах своих полномочий могут устанавливать дополнительные требования к обеспечению защиты информации в автоматизированных системах управления, находящихся в их ведении, с учетом особенностей соответствующих отраслей экономики (промышленности) и специфики управляемых (контролируемых) объектов.

Защита информации в автоматизированной системе управления обеспечивается путем выполнения заказчиком, оператором и разработчиком (проектировщиком) требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления.

Защита информации в автоматизированной системе управления является составной частью работ по созданию и эксплуатации автоматизированной системы управления и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия совокупности организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в автоматизированной системе управления.

Слайд 9

Документы ФСТЭК России в области технической защиты информации включают в себя, в том числе и документы, предназначенные для проведения работ по сертификации средств защиты информации.

За последние два года ФСТЭК России проведена большая работа в этом направлении, результатом которой стали два новых документа, утвержденных приказами ФСТЭК России, а также 36 методических документов, обеспечивающих выполнение установленных обязательных требований.

На слайде представлены основные направления совершенствования системы сертификации средств защиты информации:

  1. Совершенствование организации и порядка проведения сертификации средств защиты информации.

  2. Разработка требований к средствам защиты информации

  3. Совершенствование методических подходов по сертификации средств защиты информации.

  4. Совершенствование аттестации объектов информатизации по требованиям безопасности информации

Слайд 10

Так, по первому направлению в рамках совершенствованияорганизации и порядка проведения сертификации средств защиты информации,в развитиетребований постановления Правительства Российской Федерации от 15 мая 2010 г. № 330 «Об утверждении Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну…»подготовлен проектнормативного правового акта«Организация и порядок проведения сертификации продукции используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну», утверждение планируется в 2014 г.

Задачи, которые планируется решить указанным НПА, представлены на слайде:

детализация порядка сертификации СЗИ с установлением сроков выполнения отдельных процедур; отмена процедуры продления срока действия сертификата соответствия на СЗИ для потребителей; установления порядка инспекционного контроля.

Слайд 11

В соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» в отношении продукции,используемой в целях защиты сведений, составляющих государственную тайнуили относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные федеральными органами исполнительной власти, в том числе ФСТЭК России.

ФСТЭК России разрабатывает и устанавливает в пределах своей компетенции обязательные требования в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии сзаконодательствомРоссийской Федерации инойинформации ограниченного доступа,издаетпо данному вопросу нормативные правовые акты; разрабатывает и утверждает методические документы;

Слайд 12

Так, в рамках разработки требований к средствам защиты информации от несанкционированного доступа (НСД) ФСТЭК России разработаны и утверждены следующие нормативные правовые акты:

приказом ФСТЭК России от 6 декабря 2011 г. № 638 утверждены Требования к системам обнаружения вторжений. (Указанный приказ в установленном порядке прошел оценку регулирующего воздействия в Минэкономразвития России и зарегистрирован Минюстом России). Требования к системам обнаружения вторжений применяются для проведения работ по сертификации вновь разработанных систем с 15 марта 2012 г.;

приказом ФСТЭК России от 20 марта 2012 г. № 28 утверждены Требования к средствам антивирусной защиты. (Указанный приказ в установленном порядке прошел оценку регулирующего воздействия в Минэкономразвития России и зарегистрирован Минюстом России). Требования к средствам антивирусной защиты применяются для проведения работ по сертификации вновь разработанных средств с 1 августа 2012 г.;

приказом ФСТЭК России от 27 сентября 2013 № 119дсп утверждены Требования в области технического регулированияк продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (требования к средствам доверенной загрузки). Требования вступили в действие с 1 января 2014 года.

Справочно:

Требования применяются к программным и программно-техническим средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом и реализующим функции по предотвращению несанкционированного доступа к программным или техническим ресурсам средства вычислительной техники на этапе его загрузки.

Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий.

Слайд 13

Соседние файлы в папке материалы ФСТЭК
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности