9.2 Требования по защите информации, обрабатываемой в ГИСП, возникающие в связи с включением в перечень объектов критической информационной инфраструктуры
Приказом Минпромторга России от 27.08.2019 N 3180 "Об утверждении объектов критической информационной инфраструктуры Министерства промышленности и торговли Российской Федерации" ГИСП включена в перечень объектов критической информационной инфраструктуры, подлежащих категорированию.
В рамках положений Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - 187-ФЗ) организован комплекс мероприятий по приведению системы в соответствие с положениями закона.
Комплекс мероприятий включает:
проведение процедуры категорирования;
интеграцию в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
принятие организационных и технических мер по обеспечению информационной безопасности ГИСП.
На основании ст. 7 187-ФЗ категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения. Правила категорирования раскрываются в постановлении Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов КИИ Российской Федерации, а также перечня показателей критериев значимости объектов КИИ Российской Федерации и их значений".
В соответствии с перечнем показателей критериев значимости ГИСП присвоена вторая категория значимости. ГИСП включена в Реестр значимых объектов критической информационной инфраструктуры Российской Федерации в установленном порядке.
В соответствии с Приложениями 1 - 2 к приказу ФСБ России от 24.07.2018 N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) на информационные ресурсы Российской Федерации субъектами критической информационной инфраструктуры предоставляется информация о компьютерных инцидентах, связанных с функционированием объектов критической информационной инфраструктуры, а также иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Данная информация представляется субъектами критической информационной инфраструктуры в ГосСОПКА путем ее направления в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в соответствии с определенными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ.
Мероприятия по обеспечению безопасности ГИСП должны включать оценку достаточности текущих мер информационной безопасности. Для выполнения требований Федерального закона развернутые системы безопасности должны удовлетворять требованиям ФСТЭК России. При необходимости проводится модернизация и/или дооснащение инфраструктуры информационной безопасности ГИСП.
Состав базового набора мер по обеспечению безопасности значимого объекта критической информационной инфраструктуры второй категории значимости, присвоенной ГИСП, представлен в Приложении к Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденным приказом ФСТЭК России от 25.12.2017 N 239 (далее - приказ ФСТЭК России N 239).
Из п. 5 приказа ФСТЭК России N 239 следует, что для обеспечения безопасности значимых объектов, которые являются государственными информационными системами, требования вышеуказанного приказа применяются с учетом Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11.02.2013 N 17 (далее - Требования о защите информации, не составляющей государственную тайну).
Согласно результатам классификации ГИСП, изложенным в Акте классификации ГИСП от 15.12.2017, обрабатываемая в ГИСП информация имеет низкий уровень значимости (УЗ 3). Комиссия по классификации ГИСП установила второй класс защищенности государственной информационной системы (К2).
КонсультантПлюс: примечание.
В официальном тексте документа, видимо, допущена опечатка: имеется в виду "Методический документ. Меры защиты информации в государственных информационных системах", утв. ФСТЭК России 11.02.2014, а не 14.02.2014.
Базовый набор мер для второго класса защищенности информационной системы представлен в Приложении 2 к Требованиям о защите информации, не составляющей государственную тайну. Пояснения для каждой меры защиты приводятся в разделе 3 Методического документа "Меры защиты информации в государственных информационных системах" ФСТЭК России от 14.02.2014.
Из пункта 4 приказа ФСТЭК России N 239 следует, что для обеспечения безопасности значимых объектов, являющихся информационными системами персональных данных, требования указанного приказа применяются с учетом Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 N 1119.
Комиссия по классификации ГИСП, результаты работы которой изложены в Акте классификации ГИСП от 15.12.2017, установила, что для системы актуальны угрозы третьего типа. Следуя положениям п. 12 постановления Правительства Российской Федерации от 01.11.2012 N 1119, комиссия установила для ГИСП четвертый уровень защищенности персональных данных (УЗ4).
Содержание базового набора мер для четвертого уровня защищенности персональных данных, установленного для ГИСП, представлено в Приложении к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденном приказом ФСТЭК России от 18.02.2013 N 21.
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для четвертого уровня защищенности, детализируются в разделе II приказа ФСБ России от 10.07.2014 N 378.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей