Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все пр...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Не 17-й приказ является главенствующим, а ФЗ-149
ФЗ-1...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Требования для госорганов помимо 17-го приказа
•  Ука...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
ИС, подключаемые к инфраструктуре госуслуг
•  Информа...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
ИС организаций, подключаемых к инфраструктуре…
•  Тре...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
ИС общего пользования
•  Постановление Правительства ...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
ИС общего пользования по версии Минкомсвязи
•  Требов...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
ИС общего пользования по версии ФСТЭК и ФСБ
•  Требов...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
ИС общего пользования по версии Минкомсвязи
•  В зави...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
ИС общего пользования по версии ФСТЭК и ФСБ
•  Инфор...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
ИС общего пользования: текущие сложности
Минкомсвязи...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
ИС открытых данных
•  Требования к средствам, необхо...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Сайты ФОИВ
•  Требования к средствам, необходимым дл...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Поправки в ФЗ-149 о техсредствах ГИС
•  Технические ...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
ИС, подключающиеся к Интернет
•  Требования к информ...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
ИС для информирования о деятельности ФОИВ
•  Требова...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
ИС, подключающиеся к СМЭВ
•  Требования к взаимодейс...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
ИС электронного документооборота ФОИВ
•  Требования ...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Резюмируя
•  …
Тип информационной
системы
Особенност...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
И уж совсем в заключение
•  ФСТЭК планирует внесение...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Благодарю
за внимание
Еще больше информации вы найде...
Upcoming SlideShare
Loading in …5
×

Где установлены требования по защите ИС госорганов, исключая 17-й приказ?

5,934 views

Published on

Обзор нормативных актов, устанавливающих требования по защите информационных систем госорганов, исключая 17-й приказ ФСТЭК.

Published in: Law
  • Follow the link, new dating source: ❤❤❤ http://bit.ly/2u6xbL5 ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating direct: ♥♥♥ http://bit.ly/2u6xbL5 ♥♥♥
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Где установлены требования по защите ИС госорганов, исключая 17-й приказ?

  1. 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Как защищать информационные системы госорганов? Алексей Лукацкий Бизнес-консультант по безопасности 1 February 2015
  2. 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Не 17-й приказ является главенствующим, а ФЗ-149 ФЗ-149 Постановления Правительства РФ НПА Минкомсвязи НПА Минэкономразвития НПА ФСО НПА ФСТЭК НПА ФСБ НПА … •  Требование защиты определяется ФЗ-149, во исполнение которого разрабатываются подзаконные акты – Постановления Правительства, приказы Минкомсвязи, Минэкономразвития, ФСТЭК, ФСО, ФСБ и т.п. •  Отдельные требования к информационным системам госорганов и обрабатываемой в них информации устанавливаются иными законами, а также указами Президента
  3. 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Требования для госорганов помимо 17-го приказа •  Указ Президента РФ от 17 марта 2008 № 351 «О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» •  Постановление Правительства РФ от 18 мая 2009 года № 424 «Об особенностях подключения федеральных государственных систем к информационно-телекоммуникационным сетям» •  Приказ Минкомсвязи от 9 декабря 2013 № 390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» •  Приказ Минкомсвязи от 27 июня 2013 № 149 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования» •  Совместный приказ ФСБ и ФСТЭК от 31 августа 2010 № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования» •  Приказ Минкомсвязи от 25 августа 2009 № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования» •  Приказ Минэкономразвития от 16 ноября 2009 № 470 «О Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти» •  Приказ ФСО от 07 августа 2009 № 487 «Об утверждении Положения о сегменте информационно-телекоммуникационной сети «Интернет» для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации»
  4. 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 ИС, подключаемые к инфраструктуре госуслуг •  Информационные системы организаций, подключаемых к инфраструктуре, обеспечивающей информационно- технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме Приказ Минкомсвязи от 9 декабря 2013 г. №390 •  Определены требования по сертификации СКЗИ и МСЭ в ФСБ и ФСТЭК •  Дополнительные требования по защите определяются в зависимости от класса защищенности ИС и модели угроз Класс защищенности ИС = класс защищенности ГИС по 17-му приказу?
  5. 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 ИС организаций, подключаемых к инфраструктуре… •  Требования к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме Приказ Минкомсвязи от 03.05.2014 №120 «Об утверждении Требований, обеспечивающих технологическую совместимость информационных систем организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме с указанной инфраструктурой, к каналу связи и используемым для его защиты средствам криптографической защиты информации, а также особенностей использования стандартов и протоколов при обмене данными в электронной форме между информационными системами указанных организаций и инфраструктурой» •  Определены требования по сертификации СКЗИ и МСЭ в ФСБ и ФСТЭК •  Дополнительные требования по защите определяются в зависимости от класса защищенности ИС и модели угроз Класс защищенности ИС = класс защищенности ГИС по 17-му приказу?
  6. 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 ИС общего пользования •  Постановление Правительства от 18 мая 2009 г. №424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям» Минкомсвязь ФСБ/ФСТЭК
  7. 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 ИС общего пользования по версии Минкомсвязи •  Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети «Интернет», утвержденном постановлением Правительства Российской Федерации от 12 февраля 2003 года №98 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» Приказ Минкомсвязи от 25 августа 2009 года №104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»
  8. 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 ИС общего пользования по версии ФСТЭК и ФСБ •  Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно- телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»
  9. 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 ИС общего пользования по версии Минкомсвязи •  В зависимости от значимости информационные системы общего пользования разделяются на два класса К классу I относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам К классу II относятся информационные системы общего пользования федеральных органов исполнительной власти, за исключением систем класса I •  Являясь ФГИС, обязаны соблюдаться требования 17-го приказа •  Определены отдельные требования по сертификации различных средств защиты в ФСБ и ФСТЭК •  Определен ряд дополнительных требований по безопасности Местами требования “жестче”, чем в 17-м приказе ФСТЭК
  10. 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 ИС общего пользования по версии ФСТЭК и ФСБ •  Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего ФОИВ Ко II классу относятся информационные системы общего пользования, не указанные в предыдущем подпункте •  Являясь ФГИС, обязаны соблюдаться требования 17-го приказа •  Определены отдельные требования по сертификации различных средств защиты в ФСБ и ФСТЭК •  Определен ряд дополнительных требований по безопасности Местами требования “жестче”, чем в 17-м приказе ФСТЭК
  11. 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 ИС общего пользования: текущие сложности Минкомсвязи •  ГИС è приказ №17 •  2 класса ИСОП •  Есть дополнительные к 17- му приказу требования, но мало •  Требования по сертификации отдельных средств защиты в ФСБ ФСТЭК / ФСБ •  ГИС è приказ №17 •  2 класса ИСОП (отличных от Минкомсвязи) •  Есть дополнительные к 17- му приказу требования •  Требования по сертификации большинства средств защиты в ФСБ
  12. 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 ИС открытых данных •  Требования к средствам, необходимым для размещения открытых данных Приказ Минкомсвязи России от 27.06.2013 №149 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования» •  Распространяются на госорганы и органы местного самоуправления •  Требования по безопасности открытых данных реализуются в соответствие с приказом Минкомсвязи №104 и приказом ФСБ/ФСТЭК №416/489 + некоторые дополнительные требования по защите информации
  13. 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Сайты ФОИВ •  Требования к средствам, необходимым для обеспечения пользования сайтами ФОИВ Приказ Минэкономразвития России от 16.11.2009 №470 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, обеспечения пользования официальными сайтами федеральных органов исполнительной власти» •  Требования к средствам защиты реализуются в соответствие с приказом Минкомсвязи №104 и приказом ФСБ/ФСТЭК №416/489 + некоторые дополнительные требования по защите информации
  14. 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 Поправки в ФЗ-149 о техсредствах ГИС •  Технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, включая официальные сайты ФОИВ, должны размещаться на территории РФ
  15. 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 ИС, подключающиеся к Интернет •  Требования к информационным системам, подключаемым к Интернет и иным информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации Указ Президента от 17.03.2008 №351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» •  Устанавливаются только требования к оценке соответствия СКЗИ и МСЭ
  16. 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 ИС для информирования о деятельности ФОИВ •  Требования распространяются на информационные системы, предназначенные для информирования общественности о деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации (ИСИОД) Проект Постановления Правительства •  ИСИОД, в зависимости от значимости содержащейся в них информации, разделяются на 3 класса: I, II, III •  Ввод в эксплуатацию ИСИОД осуществляется только после аттестации по требованиям ФСТЭК и ФСБ
  17. 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 ИС, подключающиеся к СМЭВ •  Требования к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия (СМЭВ) Приказ Минкомсвязи от 27.12.2010 №190 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия» •  Устанавливаются базовые требования по защите информации и требования к сертификации СКЗИ и МСЭ
  18. 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 ИС электронного документооборота ФОИВ •  Требования распространяются на системы автоматизации делопроизводства и документооборота в федеральном органе исполнительной власти, обеспечивающей возможность внутреннего электронного документооборота (СЭД ФОИВ) Приказ Минкомсвязи от 02.09.2011 №221 «Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения» •  Защищенность от несанкционированного доступа в случаях, когда в СЭД ФОИВ предусмотрена обработка служебной информации ограниченного распространения - не ниже класса 1Г •  Также устанавливаются дополнительные требования по защите и требования по сертификации средств защиты информации
  19. 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 Резюмируя •  … Тип информационной системы Особенности Соотнесение с 17-м приказом Сертификация СрЗИ Аттестация ИС ИС госуслуг Требования неочевидны + особые требования по сертификации СрЗИ ê + − ИС общего пользования Собственные требования + требования 17-го приказа + особые требования по сертификации СрЗИ é + − Открытые данные Требования идентичны требования к ИСОП ± + − Сайт ФОИВ Требования самостоятельные + требования к СрЗИ в соответствие с требованиями к ИСОП ê + − ИС, подключаемая к Интернет Установлены только требования к СрЗИ ê + + ИС, подключаемая к СМЭВ Требования самостоятельны + требования к СрЗИ ê + − ИС электронного документооборота ФОИВ Требования самостоятельные + требования не ниже АС 1Г + требования к СрЗИ ê + + Государственный информационный ресурс Требования установлены в СТР-К ê + + ИС по 120-му приказу Минкомсвязи Требования неочевидны + особые требования по сертификации СрЗИ ê + −
  20. 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 И уж совсем в заключение •  ФСТЭК планирует внесение изменений в 17-й приказ •  В 1-м квартале 2016-го года планируется принятия второй редакции 17-го приказа •  До 15-го апреля ФСТЭК ждет предложений •  Предложения присылать на адрес: prikaz_17@fstec.ru
  21. 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 Благодарю за внимание Еще больше информации вы найдете на http://lukatsky.blogspot.com/

×