Приказ ФСБ РФ от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. В Приказе отведена большая роль модели угроз, на основании которой нужно подбирать СКЗИ по новой, усложненной классификации, отдельно для каждой ГИС. С 01 декабря 2022 года вступает в силу Приказ Федеральной службы безопасности Российской Федерации от 04.11.2022 № 547 “Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении.
Изменения в НПА по информационной безопасности
Документом предусмотрено утверждение требований о защите информации, содержащейся в ГИС, которые регламентируют вопросы защиты информации в ГИС с использованием шифровальных средств, а также правила определения класса указанных средств, подлежащих использованию для защиты информации в ГИС. Утверждаемые приказом требования позволят повысить безопасность информации, содержащейся в ГИС, сказано в пояснительной записке.
Некоторым организациям, скорее всего, потребуется полностью переработать свои системы защиты, или внедрить новые инструменты, чтобы успеть ко вступлению закона в силу. Вывод: впереди очень много работы «Уже сейчас ясно, что приказ в его нынешней редакции довольно сложен в исполнении. Если он не будет пересматриваться, подпадающим под него организациям потребуется уже до начала лета приступить к работе по пересмотру модели угроз, детальному анализу возможных нарушителей, определению класса СКЗИ, при этом учитывая и требования ФСТЭК, а также переработке, а возможно, и полной замене используемых сейчас средств защиты», - прокомментировал Роман Писарев, руководитель департамента аудита и консалтинга компании iTPROTECT. Работы по созданию модели угроз, определению необходимого класса решений для каждого конкретного случая и их внедрению могут занять от нескольких недель до нескольких месяцев.
Тем не менее, время до вступления приказа в силу еще есть. Если вам требуется помощь, вы можете воспользоваться формой на сайте.
Обработка защищаемой информации в ГИС при использовании для ее защиты СКЗИ совместно с иными техническими средствами допускается только при наличии положительного заключения ФСБ России, подготовленного по результатам экспертизы. В помещениях, в которых размещены и или хранятся СКЗИ и или носители ключевой, аутентифицирующей и парольной информации СКЗИ, должен обеспечиваться режим, препятствующий возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в такие помещения, который достигается посредством: утверждения правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях; утверждения перечня лиц, имеющих право доступа в помещения. Правила определения класса СКЗИ 7. Определение класса СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, осуществляется в зависимости от уровня значимости обрабатываемой в ГИС информации и масштаба ГИС в соответствии с таблицей, приведенной в приложении к настоящим Требованиям , с учетом особенностей, предусмотренных пунктами 10 - 18 настоящих Требований. Уровень значимости информации, содержащейся в ГИС, определяется степенью возможного ущерба для обладателя информации заказчика и или оператора от нарушения конфиденциальности неправомерные доступ, копирование, предоставление или распространение , целостности неправомерные уничтожение или модифицирование или доступности неправомерное блокирование информации далее - свойства безопасности информации.
Информация имеет высокий уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и или ГИС и или оператор, обладатель информации не могут выполнять возложенные на них функции. Информация имеет средний уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и или ГИС и или оператор, обладатель информации не могут выполнять хотя бы одну из возложенных на них функций.
В этой связи Бессар абов подче ркнул, что целенаправленный сбор, обработка и систематизация таких сведений могут при определенных условиях нанести вред государству. Сведения делятся на военные и военно-производственные, не содержащие гостайну. Полный их список включает 61 пункт.
ФСБ утвердила новый перечень сведений, представляющих угрозу безопасности России
Федеральная служба безопасности Российской Федерации утвердила перечень сведений в области военной и военно-технической деятельности страны, которые могут быть использованы против безопасности России. Россия готова сотрудничать со всеми, кто заинтересован в глобальной и региональной безопасности. Об этом заявил Владимир Путин, обращаясь к участникам Международной конференции в Петербурге. Модель угроз — согласно Методическим рекомендациям ФСБ, моделью угроз является перечень возможных угроз информационной безопасности компании. Приказ ФСБ РФ от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. О внесении изменений в приказ Генеральной прокуратуры Российской Федерации, Министерства внутренних дел Российской Федерации, Федеральной службы безопасности Российской Федерации, Следственного комитета Российской Федерации. Он заменяет собой предыдущий Перечень, утв. приказом ФСБ России от 28.09.2021 № 379. Новый Перечень содержит 60 пунктов, распределенных по 2 разделам: военные и военно-производственные сведения, не содержащие гостайну.
ФСБ утвердила перечень сведений, которые могут использоваться против безопасности России
Требования вступают в силу с 23. Использование российских криптографических алгоритмов в протоколе обмена ключами в сети Интернет версии 2 IKEv2 Техническим комитетом по стандартизации «Криптографическая защита информации» ТК 26 представлены для общественного обсуждения Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе обмена ключами в сети Интернет версии 2 IKEv2 » далее — Рекомендации. Рекомендации содержат описание протокола обмена ключами в сети Интернет версии 2 Internet Key Exchange version 2 — IKEv2 при использовании в нем российских криптографических алгоритмов, определяемых документами национальной системы стандартизации РФ. Протокол может применяться при защите информации, не содержащей сведений, составляющих государственную тайну. НУЦ предназначена для создания и выдачи владельцам сайтов в сети Интернет сертификатов безопасности с применением: российских криптографических алгоритмов ГОСТ ; иных алгоритмов например, алгоритма RSA. Информация о выданных сертификатах безопасности, размещаемая в НУЦ, является общедоступной. Организации, индивидуальные предприниматели и физические лица, осуществляющие деятельность по созданию программного обеспечения в целях получения доступа к сайтам в сети Интернет, обязаны обеспечить возможность использования средствами информатизации сертификатов безопасности для установления пользователем криптографически защищенного соединения с сайтами в сети Интернет. Конфискация за преступления в сфере компьютерной информации В Государственной Думе РФ выступили с инициативой , позволяющей конфисковать имущество, полученное в результате совершения преступлений в сфере компьютерной информации статьи 272, 273, 274, 2741 Уголовного Кодекса РФ.
Законопроект призван повысить эффективность мер по противодействию такого рода преступлениям. Требования к отечественному ПО Для общественного обсуждения представлен проект постановления Правительства РФ «О внесении изменений в некоторые акты Правительства Российской Федерации». Проектом предлагается установить требования к программам для электронных вычислительных машин и базам данных, сведения о которых включены в единый реестр российских программ для электронных вычислительных машин и базам данных далее — Реестр. Кроме того, к ПО предъявляются требования по совместимости с иным ПО или аппаратными средствами, входящими в состав Реестра: ПО должно быть совместимо хотя бы с одним центральным процессором, включенным в Реестр; ПО должно работать под управлением хотя бы одной операционной системы, включенной в Реестр; в случае доступа с использованием средств интернет-браузера — должен быть хотя бы один Интернет-браузер, включенный в Реестр, с помощью средств которого можно получить доступ к ПО. Общественное обсуждение проекта завершилось 5 декабря. В случае утверждения проект вступает в силу с 1 июля 2023 года. Требования к линиям связи, пересекающим границу РФ Официально опубликован приказ Минцифры России от 12. Согласно Приказу трансграничные линии связи должны: обслуживаться и эксплуатироваться российскими организациями в соответствии с регламентами , утвержденными оператором связи собственником или иными владельцами технологических сетей связи, точки обмена трафиком или трансграничной линии связи в соответствии с законодательством РФ ; соответствовать проектной документации и регламентам эксплуатации; управляться с территории РФ, в случае их размещения за границей РФ и при наличии законного основания принадлежности операторам связи РФ; соответствовать коэффициенту эксплуатационного показателя надежности сети международной телефонной связи не менее 0,999.
В перечень сведений, которые при их получении иностранными источниками могут быть использованы против безопасности РФ, в частности, вошли данные об оценке и прогнозах развития военно-политической, стратегической оперативной обстановки, планировании и осуществлении мероприятий по гражданской и территориальной обороне, дислокации, назначении, эксплуатации и защищенности объектов войск, воинских формирований и органов. Кроме того, согласно приказу ФСБ, в перечень сведении, запрещенных к передаче вошли: «данные о действительных наименованиях, организационной структуре, вооружении, перевозках, маршрутах транспортировки и передвижения, численности подразделений вооруженных сил РФ, Росгвардии, МЧС, СВР, ФСБ, органов государственной охраны, органов военной прокуратуры, военных следственных органов Следственного комитета РФ, Главного управления специальных программ президента РФ; сведения об оперативном оборудовании территории России в целях обороны».
Новые запрещенные сведения составляют даже не государственную тайну — это подчеркивается в формулировках параграфов. Всего в документе — 60 пунктов на 11 листах. Подписанный директором ФСБ Александром Бортниковым приказ отправлен на реализацию Уголовного кодекса РФ, сам по себе он не является поправками к закону и не требует одобрения парламента. Перечень вступает в действие через несколько дней - с 1 декабря этого года. В значительной части пунктов формулировки об информации, запрещенной к передаче «иностранным источникам», довольно пространны. К примеру, высказывание «По мнению некоторых экспертов, СВО может завершиться осенью 2024 года» - спокойно подпадает под п. Новость по типу этой «25-26 декабря 2022г. Под квалификацию этого же пункта можно отнести, например, и опубликование карты бомбоубежищ, и инструкции для жителей о сборе «тревожного чемоданчика». Напоминание факта «Как известно, в здании Генерального штаба ВС РФ на Знаменке уже 30 лет планируется ремонт крыши, которую снесло ураганом в 1991 году» подпадает под п. Статейный заголовок «Израиль предупредил Россию о последствиях использования иранских дронов» - п. Кроме того, запрещено распространять в интересах иностранных лиц, например: - Сведения о структуре, вооружении и численности подразделений ВС РФ, Росгвардии, - Сведения об эксплуатации и защищенности объектов войск, воинских формирований, - Сведения о методах подготовки военнослужащих, - Сведения о ходе и результатах рассмотрения сообщений о преступлениях и предварительного расследования, которые производятся военными следственными органами и ФСБ. К запрещенной информации из II раздела — о военно-технической деятельности отнесены например: - Сведения о функционировании государственных систем по защите и ликвидации компьютерных атак на информационные ресурсы РФ и предприятия ОПК, сведения о государственных закупках этих защитных систем, - Сведения о производственной кооперации предприятий ОПК и об оценке производителей качества образцов вооружения, военной и специальной техники, - Сведения об охране объектов, подлежащих охране Росгвардии, - Сведения о развитии вооружения, военной и специальной техники, результатах выполнения целевых программ, научно-исследовательских и опытно-конструкторских работ по созданию и модернизации образцов вооружения прощайте, выставки Росгвардии и УФСИН на международных экономических форумах, экспозиции Минобороны в парке «Патриот», парады техники на 9 мая? Исключения по некоторым пунктам составляют сведений из тех же категорий, если они касаются разработок в рамках научной и социально-экономической деятельности, или относятся к обязательствам РФ по международным соглашениям и договорам. А также если сведения уже находятся в открытом доступе, либо оказались там в связи и исполнением уполномоченными лицами своих должностных обязанностей.
Утвердить прилагаемые Требования о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных криптографических средств. Установить, что настоящий приказ не распространяется на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации, а также на государственные информационные системы, содержащие сведения, составляющие государственную тайну.
ФСБ утвердила перечень сведений, которые могут быть использованы за рубежом против РФ
23 ноября начал действовать приказ ФСБ № 524. Он содержит требования по обеспечению безопасности информации в ГИС с использованием шифровальных средств, а также порядок определения класса средств криптографической защиты информации (СКЗИ). Официально опубликован приказ ФСБ России от 24.10.2022 № 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств». Федеральная служба безопасности (ФСБ) утвердила перечень сведений в области военной и военно-технической деятельности, которые запрещено передавать. Приказ ФСБ России от 24 октября 2022 г. N 524 "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств". На официальном интернет-портале правовой информации появился новый документ: приказ директора ФСБ РФ Александра Бортникова, содержащий перечень военных сведений о деятельности нашего государства, которые могут быть использованы против безопасности.
В Думе сообщили, что приказ ФСБ о данных нацбезопасности касается всех находящихся в РФ
Приказ ФСБ России об утверждении перечня несекретных сведений военной, военно-технической деятельности РФ, которые могут быть использованы против страны при получении их иностранными источниками, вступает в силу. Приказ 173 О внесении изменений в некоторые нормативные правовые акты ФСБ России. Приказ 524 устанавливает требования к защите информации в ГИС с помощью СКЗИ, в том числе правила определения класса СКЗИ. Также установлено, что в ГИС могут использоваться только средства криптографии, сертифицированные ФСБ России.
ФСБ сообщила о предотвращении терактов в Волгоградской области
Федеральная служба безопасности российской федерации. Федеральной службой безопасности утверждён список военных сведений, которые при их получении иностранными источниками могут быть использованы для подрыва безопасности РФ. Приказ вступит в силу с 1 декабря 2022 года. ТАСС/. ФСБ утвердила новый перечень сведений, которые при их получении иностранными источниками могут быть использованы против безопасности России. С 01 декабря 2022 года вступает в силу Приказ Федеральной службы безопасности Российской Федерации от 04.11.2022 № 547 “Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении.
Криптографическая оборона: требования к защите Государственных Информационных Систем (ГИС)
Бортников Перечень сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранными источниками могут быть использованы против безопасности Российской Федерации Утвержден от 4 ноября 2022 г. Сведения в области военной деятельности Российской Федерации, не содержащие сведений, составляющих государственную тайну 1. Сведения об оценке и прогнозах развития военно-политической, стратегической оперативной обстановки. Сведения о планировании и осуществлении мероприятий по гражданской и территориальной обороне. Сведения о дислокации, действительных наименованиях, организационной структуре, вооружении, перевозках, маршрутах транспортировки и передвижения, численности подразделений Вооруженных Сил Российской Федерации, войск национальной гвардии Российской Федерации, спасательных воинских формирований федерального органа исполнительной власти, уполномоченного на решение задач в области гражданской обороны, воинских подразделений федеральной противопожарной службы и создаваемых на военное время специальных формирований, Службы внешней разведки Российской Федерации, органов федеральной службы безопасности, органов государственной охраны, органов военной прокуратуры, военных следственных органов Следственного комитета Российской Федерации, федерального органа обеспечения мобилизационной подготовки органов государственной власти Российской Федерации далее - войска, воинские формирования и органы. Сведения о дислокации, назначении, эксплуатации и защищенности объектов войск, воинских формирований и органов. Те же сведения в отношении строящихся объектов войск, воинских формирований и органов. Сведения об оперативном оборудовании территории Российской Федерации в целях обороны. Сведения о прохождении гражданами Российской Федерации военной службы, государственной службы иных видов в войсках, воинских формированиях и органах, о трудовой деятельности граждан Российской Федерации в войсках, воинских формированиях и органах. Сведения о строительстве и развитии войск, воинских формирований и органов.
Сведения о мобилизации, боевой и мобилизационной подготовке войск, воинских формирований и органов. Сведения о местах хранения оружия, боеприпасов или взрывчатых веществ, находящихся на вооружении войск, воинских формирований и органов. Те же сведения в отношении организаций, производящих их или осуществляющих их перевозку к месту назначения. Сведения о потребностях войск, воинских формирований и органов в капитальных вложениях в строительство объектов войск, воинских формирований и органов. Сведения о потребностях войск, воинских формирований и органов в разработке, производстве, испытаниях, установке, монтаже, техническом обслуживании, ремонте и утилизации образцов вооружения, военной и специальной техники, в том числе робототехнических комплексов. Сведения о материально-техническом и финансовом обеспечении войск, воинских формирований и органов. Сведения о закупках товаров, работ, услуг для нужд войск, воинских формирований и органов, в том числе сведения о единственных поставщиках товаров, работ, услуг. Сведения о соблюдении законности и морально-психологическом климате в войсках, воинских формированиях и органах.
Управление кадров Службы организационно-кадровой работы ФСБ России сведения о доходах, об имуществе и обязательствах имущественного характера, представляемые гражданами и сотрудниками, претендующими на замещение должностей государственной службы, назначение на которые и освобождение от которых осуществляются Президентом Российской Федерации, направляет в Управление Президента Российской Федерации по вопросам государственной службы и кадров вместе с другими документами о назначении на должность, а представляемые сотрудниками, замещающими указанные должности государственной службы, - ежегодно, не позднее 30 апреля года, следующего за отчетным. Справки о доходах, об имуществе и обязательствах имущественного характера регистрируются в установленном порядке в подразделении кадров органа безопасности. Справки о доходах, об имуществе и обязательствах имущественного характера приобщаются в установленном порядке к личному делу сотрудника. В случае если гражданин или сотрудник, указанный в подпункте "б" пункта 3 настоящего Порядка, представившие в подразделение кадров органа безопасности справки о своих доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера своих супруги супруга и несовершеннолетних детей, не были назначены на должность государственной службы, включенную в Перечни должностей, эти справки возвращаются им по их письменному заявлению вместе с другими документами. Сведения о доходах, об имуществе и обязательствах имущественного характера, представляемые в соответствии с настоящим Порядком гражданином и сотрудником, относятся к информации ограниченного доступа, если федеральным законом они не отнесены к сведениям, составляющим государственную тайну.
Изменения носят масштабный характер и потребуют серьезной переработки используемых сейчас систем защиты. Рассмотрим нововведения подробнее. Приказ распространяется на почти всех без поблажек В документе не описано каких-либо «переходных» положений и исключений для ранее созданных систем. Это значит, что со дня вступления документа в силу, соответствовать его требованиям должны все системы защиты во всех организациях, которые под него подпадают. Так, в случае если ГИС состоит из двух и более сегментов, то уровень значимости информации и масштаб определяются для каждого сегмента отдельно. При этом, для государственных информационных систем, которые взаимодействуют с другими ГИС, требуется использовать СКЗИ более высокого класса, в то время как в рамках одной системы подойдут и средства защиты наименьшего класса.
N 173 , зарегистрирован Минюстом России 25 мая 2010 г. Обработка защищаемой информации в ГИС при использовании для ее защиты СКЗИ совместно с иными техническими средствами допускается только при наличии положительного заключения ФСБ России, подготовленного по результатам экспертизы. В помещениях, в которых размещены и или хранятся СКЗИ и или носители ключевой, аутентифицирующей и парольной информации СКЗИ, должен обеспечиваться режим, препятствующий возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в такие помещения, который достигается посредством: утверждения правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях; утверждения перечня лиц, имеющих право доступа в помещения. Правила определения класса СКЗИ 7. Определение класса СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, осуществляется в зависимости от уровня значимости обрабатываемой в ГИС информации и масштаба ГИС в соответствии с таблицей, приведенной в приложении к настоящим Требованиям , с учетом особенностей, предусмотренных пунктами 10 - 18 настоящих Требований. Уровень значимости информации, содержащейся в ГИС, определяется степенью возможного ущерба для обладателя информации заказчика и или оператора от нарушения конфиденциальности неправомерные доступ, копирование, предоставление или распространение , целостности неправомерные уничтожение или модифицирование или доступности неправомерное блокирование информации далее - свойства безопасности информации. Информация имеет высокий уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и или ГИС и или оператор, обладатель информации не могут выполнять возложенные на них функции.
Юрист призвал прекратить спекуляции вокруг нового приказа ФСБ о неразглашении сведений
Федеральная служба безопасности (ФСБ) утвердила перечень сведений в области военной и военно-технической деятельности, которые запрещено передавать. Федеральной службой безопасности утверждён список военных сведений, которые при их получении иностранными источниками могут быть использованы для подрыва безопасности РФ. Приказ вступит в силу с 1 декабря 2022 года. Приказ Федеральной службы безопасности Российской Федерации от 24.10.2022 № 524 "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств". Он заменяет собой предыдущий Перечень, утв. приказом ФСБ России от 28.09.2021 № 379. Новый Перечень содержит 60 пунктов, распределенных по 2 разделам: военные и военно-производственные сведения, не содержащие гостайну. С 01 декабря 2022 года вступает в силу Приказ Федеральной службы безопасности Российской Федерации от 04.11.2022 № 547 “Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении.