6.31M
Категория: ПравоПраво

Юридические аспекты применения средств криптографической защиты информации

1.

Юридические аспекты
применения средств
криптографической защиты
информации
Подготовила
Кошкош Д.А.
1

2.

ПЛАН.
1.
Что такое СКЗИ?
2.
Как работает?
3.
Список НПА в соответствии
со сферой деятельности.
2

3.

Что такое
СКЗИ?
СКЗИ (средство криптографической защиты информации)
— это программа или устройство, которое шифрует
документы и генерирует электронную подпись (ЭП). Все
операции производятся с помощью ключа электронной
подписи, который невозможно подобрать вручную, так как
он представляет собой сложный набор символов. Тем
самым обеспечивается надежная защита информации.
3

4.

1.Отправитель создает документ
2.При помощи СКЗИ и закрытого ключа ЭП добавляет файл
подписи, зашифровывает документ и объединяет все в файл,
который отправляется получателю
3.Файл передается получателю
Как
работает
СКЗИ?
4.Получатель расшифровывает документ, используя СКЗИ и
закрытый ключ своей электронной подписи
5.Получатель проверяет целостность ЭП, убеждаясь, что в
документ не вносились изменения
4

5.

Список НПА, в которых требуется
использование СКЗИ
Для ряда организаций использование средств
криптографической защиты информации (СКЗИ),
сертифицированных ФСБ России, является
необходимым.
5

6.

Государственные органы
Персональные данные
Энергетика
Здравоохранение
Финансовые организации
Страховые компании
Бюро кредитных историй
Транспорт
КИИ, ГосСОПКА
Центры Мониторинга
Электронное Правительство
Другое
6

7.

Государственные органы
7

8.

Указ
Президента
Российской
Федерации
от 3 апреля
1995 г. №
334
2. Запретить использование государственными
организациями и предприятиями в информационно —
телекоммуникационных системах шифровальных
средств, включая криптографические средства
обеспечения подлинности информации (электронная
подпись), и защищенных технических средств хранения,
обработки и передачи информации, не имеющих
сертификата Федерального агентства
правительственной связи и информации при
Президенте Российской Федерации, а также
размещение государственных заказов на предприятиях,
в организациях, использующих указанные технические и
шифровальные средства, не имеющие сертификата
Федерального агентства правительственной связи и
информации при Президенте Российской Федерации.
*Указ Президента РФ от 11 марта 2003 г. N 308 «О
мерах по совершенствованию государственного
управления в области безопасности Российской
Федерации»:
Функции ФАПСИ переданы ФСБ России
8

9.

Статья 13 «Информационные системы», часть 2.3:
Федеральный
закон №149 «Об
информации,
информационных
технологиях и о
защите
информации»
2.3. Государственные органы, органы местного
самоуправления, государственные и муниципальные
унитарные предприятия, государственные и
муниципальные учреждения при осуществлении
взаимодействия в электронной форме, в том числе с
гражданами (физическими лицами) и организациями,
обязаны обеспечивать возможность осуществления
такого взаимодействия в соответствии с правилами и
принципами, установленными национальными
стандартами Российской Федерации в области
криптографической защиты информации,
утвержденными в соответствии с Федеральным
законом от 29 июня 2015 года N 162-ФЗ «О
стандартизации в Российской Федерации».
Статья 14 «Государственные информационные
системы», часть 8:
8. Технические средства, предназначенные для
обработки информации, содержащейся в
государственных информационных системах, в том
числе программно-технические средства и средства
защиты информации, должны соответствовать
требованиям законодательства Российской Федерации
о техническом регулировании.
9

10.

Приказ
ФСТЭК
России №17
(ГИС)
3. Настоящие Требования
являются обязательными при
обработке информации в
государственных
информационных системах,
функционирующих на
территории Российской
Федерации, а также в
муниципальных
информационных системах,
если иное не установлено
законодательством Российской
Федерации о местном
самоуправлении.
10

11.

11. Для обеспечения
защиты информации,
содержащейся в
информационной системе,
применяются средства
защиты информации,
прошедшие оценку
соответствия в форме
обязательной
сертификации на
соответствие
требованиям по
безопасности
информации в
соответствии со статьей 5
Федерального закона от 27
декабря 2002 г. N 184-ФЗ
«О техническом
регулировании».
15.1. При проектировании системы
защиты информации
информационной системы:
осуществляется выбор средств
защиты информации,
сертифицированных на
соответствие требованиям по
безопасности информации, с
учетом их стоимости,
совместимости с
информационными технологиями и
техническими средствами,
функций безопасности этих
средств и особенностей их
реализации, а также класса
защищенности информационной
системы;
11

12.

26.1. При проектировании вновь создаваемых
или модернизируемых информационных
систем, имеющих доступ к информационнотелекоммуникационной сети «Интернет»,
должны выбираться маршрутизаторы,
сертифицированные на соответствие
требованиям по безопасности информации (в
части реализованных в них функций
безопасности).
12

13.

Состав мер защиты
информации и их базовые
наборы для
соответствующего класса
защищенности
информационной системы
13

14.

Другие…
Информационное сообщение ФСТЭК
№240/22/2637 (Муниципальные
информационные системы)
Федеральный закон №149 «Об
информации, информационных технологиях
и о защите информации» (Муниципальные
информационные системы)
14

15.

Федеральные органы исполнительной власти
(ИС общего пользования)
15

16.

Приказ ФСБ
России,
ФСТЭК
России
№416/489
17.1. В информационных
системах общего пользования
I класса:использование
средств защиты информации
от неправомерных
действий, сертифицированн
ых ФСБ России и (или)
ФСТЭК России с учетом их
компетенции, в том числе
средств криптографической
защиты информации
(электронной цифровой
подписи, при этом средства
электронной цифровой
подписи должны применяться
к публикуемому
информационному
наполнению);
Аналогично для 17.2. В
информационных системах
общего пользования II класса
16

17.

Персональные
данные
17

18.

Приказ ФСБ
России
№378
9. в) использования для
обеспечения требуемого уровня
защищенности персональных
данных при их обработке в
информационной системе СКЗИ
класса КС1 и выше.
Далее выбор конкретного класса в
зависимости от возможностей
атакующего
18

19.

Приказ
ФСТЭК
России №21
19

20.

Единая биометрическая система
20

21.

Пример – актуальные угрозы безопасности при
взаимодействии между структурными
подразделениями организации
Указание
Банка
России
№4859У/01/01/78218
1.2 при сборе биометрических ПДн в государственных
органах, банках и иных организациях, включая сбор
биометрических ПДн и передачу собранных
биометрических ПДн между структурными
подразделениями государственного органа, банка и
иной организации, -угроза нарушения целостности
(подмены, удаления) биометрических ПДн, нарушения
конфиденциальности (компрометации)
биометрических ПДн, нарушения достоверности
биометрических ПДн (внесение фиктивных
биометрических ПДн), в том числе путем реализации
целенаправленных действий с использованием
возможностей, указанных в пункте 11 приложения к
приказу ФСБ России N 378 (в случае применения
средств (систем) защиты информации от
несанкционированного доступа, прошедших оценку
соответствия в форме обязательной сертификации на
соответствие требованиям по безопасности
информации не ниже четвертого класса) и в пункте 12
приложения к приказу ФСБ России N 378 (в случае
неприменения средств (систем) защиты информации
от несанкционированного доступа, прошедших оценку
соответствия в форме обязательной сертификации на
соответствие требованиям по безопасности
информации не ниже четвертого класса);
21

22.

Э
Н
Е
Р
Г
Е
Т
И
К
А
22

23.

Приказ
Министерств
а Энергетики
№1015 от
06.11.2018
14. Для предотвращения угроз
информационной безопасности Систем
Удаленного Мониторинга и Диагностики
(СУМиД) в отношении аппаратной
инфраструктуры СУМиД субъектом
электроэнергетики должна обеспечиваться
безопасность ее функционирования.Для
обеспечения безопасности функционирования
аппаратной инфраструктуры СУМиД субъект
электроэнергетики должен:<…>• применять
средства защиты информации, включая
средства, в которых они реализованы, а также
средства контроля эффективности защиты
информации, сертифицированные в
соответствии с Федеральным законом от
27.12.2002 N 184-ФЗ «О техническом
регулировании«
23

24.

Здравоохранение
24

25.

Приказ
Минздрава
№911н от
24.12.2018
Касается всех медицинских и
фармацевтических организаций (323-ФЗ)9.
Программно-технические средства
информационных систем должны:
а) располагаться на территории Российской
Федерации;
б) соответствовать требованиям,
предусмотренным постановлением
Правительства Российской Федерации от 16
ноября 2015 г. № 1236 «Об установлении
запрета на допуск программного
обеспечения, происходящего из
иностранных государств, для целей
осуществления закупок для обеспечения
государственных и муниципальных нужд»;
в) быть сертифицированными Федеральной
службой безопасности Российской
Федерации и (или) Федеральной службой по
техническому и экспортному контролю в
отношении входящих в их состав средств
защиты информации, включающих
программно-аппаратные средства, средства
антивирусной и криптографической защиты
информации и средства защиты
информации от несанкционированного
доступа, уничтожения, модификации и
блокирования доступа к ней, а также от иных
неправомерных действий в отношении такой
информации (в том числе сведения,
составляющие врачебную тайну);
25

26.

Регламент предоставления услуги подключения к
ЗСПД Министерства Здравоохранения РФ
региональных медицинских организаций
Документ определяет общие положения и правила по
построению процесса подключения региональных
ОУЗ/ФГУ к информационным системам и ресурсам
Единой Государственной информационной системы
здравоохранения Российской Федерации (далее –
ЕГИСЗ), развернутой на инфраструктуре и
вычислительных мощностях федерального центра
обработки данных (далее — ФЦОД) Минздрава России с
применением средств криптографической защиты
передаваемой информации, сертифицированных на
соответствие требованиям ФСБ России к средствам
криптографической защиты информации (далее – СКЗИ)
по классу КС3 и требованиям ФСТЭК России по 3-му
классу к межсетевым экранам (МЭ).
26

27.

Финансовые организации
27

28.

Положение Банка России от 23.12.2020 № 747-П «О
требованиях к защите информации в платежной
системе Банка России»
14.2. Участники СБП и ОПКЦ должны
обеспечивать защиту электронных сообщений
при передаче между участниками СБП и ОПКЦ
посредством:
применения средств защиты информации,
реализующих двухстороннюю аутентификацию
и шифрование информации на уровне
представления или ниже, в соответствии с
эталонной моделью взаимосвязи открытых
систем, определенной в ГОСТ Р ИСО/МЭК
7498-1-99, прошедших процедуру оценки
соответствия требованиям, установленным
федеральным органом исполнительной
власти в области обеспечения безопасности.
28

29.

ГОСТ Р 57580.1-2017 «Безопасность финансовых
(банковских) операций. Защита информации финансовых
организаций. Базовый состав организационных и
технических мер»
Другие…
Положение Банка России от 17.04.2019 N 683-П «Об
установлении обязательных для кредитных организаций
требований к обеспечению защиты информации при
осуществлении банковской деятельности в целях
противодействия осуществлению переводов денежных
средств без согласия клиента»
Положение Банка России от 17.04.2019 № 684-П «Об
установлении обязательных для некредитных
финансовых организаций требований к обеспечению
защиты информации при осуществлении деятельности в
сфере финансовых рынков в целях противодействия
осуществлению незаконных финансовых операций»
29

30.

Страховые компании
30

31.

3. ТРЕБОВАНИЯ К ЗАЩИТЕ
ИНФОРМАЦИИ
«Базовый
стандарт
совершения
страховыми
организациям
и операций на
финансовом
рынке»
3.1. При обеспечении защиты
информации, полученной
страховщиком при осуществлении им
страховой деятельности, включая
обеспечение целостности указанной
информации, ее доступности и
конфиденциальности, защите
персональных данных получателей
финансовых услуг страховщик обязан
соблюдать требования, определенные
законодательством Российской
Федерации, иными нормативноправовыми актами и национальными
стандартами, в том числе:<…>
— ГОСТ Р 57580.1-2017 Национальный
стандарт Российской Федерации.
Безопасность финансовых
(банковских) операций. Защита
информации финансовых организаций.
Базовый состав организационных и
технических мер.
— ГОСТ Р 57580.2 Национальный
стандарт Российской Федерации.
Безопасность финансовых
(банковских) операций. Защита
информации финансовых организаций.
Методика оценки соответствия.
31

32.

Бюро
кредитных
историй
32

33.

Статья 7. Хранение и защита
информации
Федеральный
закон №218
«О кредитных
историях»
2. Бюро кредитных историй
обеспечивает защиту
информации при ее
обработке, хранении и
передаче сертифицирован
ными средствами
защиты в соответствии с
законодательством
Российской Федерации.
33

34.

Т
Р
А
Н
С
П
О
Р
Т
34

35.

Постановление Правительства РФ от 24 июля 2019 г. N 955 «Об
утверждении требований к автоматизированной информационной
системе оформления воздушных перевозок, к базам данных,
входящим в ее состав, к информационно-телекоммуникационной
сети, обеспечивающей работу указанной автоматизированной
информационной системы, к ее оператору, а также мер по защите
информации, содержащейся в ней, и порядка ее
функционирования»
13. Меры по защите информации, содержащейся в автоматизированных
системах, реализуются операторами автоматизированных систем
посредством
обеспечения конфиденциальности и целостности информации,
передаваемой
через общедоступные каналы связи, с применением сертифицированных
средств
криптографической защиты информации.
35

36.

КИИ, ГосСОПКА
36

37.

Приказ ФСБ России № 196 «Об утверждении требований к
средствам, предназначенным для обнаружения,
предупреждения и ликвидации последствий компьютерных
атак и реагирования на компьютерные инциденты»
20. Криптографические средства защиты информации, необходимой субъектам
КИИ при обнаружении, предупреждении и (или) ликвидации последствий
компьютерных атак, должны быть сертифицированы в системе сертификации
средств защиты информации.
37

38.

Другие…
Приказ ФСТЭК России №235 «Об утверждении
Требований к созданию систем безопасности значимых
объектов критической информационной инфраструктуры
Российской Федерации и обеспечению их
функционирования «
Приказ ФСТЭК России №239 «Об утверждении
Требований по обеспечению безопасности значимых
объектов критической информационной инфраструктуры
Российской Федерации»
38

39.

Центры мониторинга
39

40.

Перечень
контрольноизмерительного и
испытательного
оборудования
ФСТЭК России
27. Средства защиты каналов
передачи данных. Должны
обеспечивать
конфиденциальность и
целостность данных,
передаваемых по каналам связи
между информационной
системой, используемой для
управления информационной
безопасностью, и
информационными системами, в
отношении которых
осуществляется
мониторинг. Должны иметь
сертификаты соответствия ФСБ
России
40

41.

Электронное правительство
41

42.

Подключение
к СМЭВ
Приказ Минкомсвязи
России от 23.06.2015 №
210
Приказ Минкомсвязи
России от 09.12.2013
№390
42

43.

Подключение к ФГИС ЕГРН (Единый государственный
реестр недвижимости Росреестра)
Другое
СОГЛАШЕНИЕ о взаимодействии при подключении
Пользователя к веб-сервисам Росреестра и об условиях
пользования сервисами и системами Росреестра
Безопасный город
Единые требования к техническим параметрам сегментов
АПК «Безопасный город» Р 4516п-П4
ГОСТ Р 57144-2016 Фото-видео фиксация контроля ПДД
43
English     Русский Правила