2.3.4. Требования к реализации системы информационной безопасности

СКПП создается в соответствии с нормами и требованиями "ГОСТ Р 56939-2024. Национальный стандарт Российской Федерации. Защита информации. Разработка безопасного программного обеспечения. Общие требования" (утвержден и введен в действие приказом Росстандарта от 24.10.2024 N 1504-ст).

СКПП должна обеспечивать функционирование в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Система защиты информации должна обеспечивать реализацию мер защиты информации в соответствии с приказами ФСТЭК России:

- от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (действует до 01.03.2026);

- от 11.04.2025 N 117 "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений" (вступает в силу с 01.03.2026).

В СКПП предусмотрены средства защиты от несанкционированного доступа к информации, разрушения информации, в том числе путем доступа через графические и/или программные интерфейсы СКПП, внешние носители информации, корпоративные компьютерные сети оператора СКПП, а также физический доступ к техническим средствам СКПП.

Возможность прямого внесения изменений в информационные базы данных СКПП должна быть исключена,

У оператора СКПП не должно быть технической возможности получать информацию о паролях учетных записей пользователей (хранение паролей в СКПП обеспечивается в зашифрованном виде).