Журнал "Information Security/ Информационная безопасность" #4, 2020

Требования доверия в ИСПДн 10 июля 2020 г. официально опубли- кован приказ ФСТЭК России от 14.05.2020 г. № 68 "О внесении измене- ний в Состав и содержание организа- ционных и технических мер по обес- печению безопасности персональных данных при их обработке в информа- ционных системах, утвержденные при- казом Федеральной службы по техниче- скому и экспортному контролю от 18 февраля 2013 г. № 21" 1 . Согласно этому приказу с 1 января 2021 г. при использовании в информа- ционных системах персональных данных (ИСПДн), сертифицированных по тре- бованиям безопасности информации средств защиты информации (СрЗИ), такие СрЗИ должны быть сертифициро- ваны по требованиям к уровням доверия. Требования безопасности информации, устанавливающие уровни доверия к средствам технической защиты инфор- мации и средствам обеспечения без- опасности информационных технологий, утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131. Соответствие между уровнями защи- щенности ИСПДн и сертификацией СрЗИ по требованиям к уровням доверия приведено в таблице. Информационная безопасность сетей связи Минкомсвязь России 13 июля 2020 г. опубликовала проект приказа Минком- связи России "Об утверждении Требо- ваний к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и инфор- мационной безопасности сетей связи и систем управления сетями связи" 2 . Требования проекта приказа Минком- связи России направлены на регулиро- вание деятельности операторов связи при эксплуатации и управлении сетями электросвязи, составляющими единую сеть электросвязи РФ, входящими в сеть связи общего пользования (ССОП), за исключением сетей связи специального назначения, выделенных и технологиче- ских сетей связи, если они не присоеди- нены к ССОП, а также сетей связи для распространения программ телевизион- ного вещания и радиовещания. При этом в проект приказа Минком- связи России также включены требования к подсистеме безопасности сетей связи, которая, в частности, должна включать: l архитектуру построения и принципы взаимодействия подсистем безопасно- сти, используемых в сети связи; l перечень защищаемых компонентов; l описание возможных нарушений целост- ности, устойчивости функционирования и безопасности сети связи; l частную модель угроз и модель нару- шителя; l описание подсистемы безопасности, включая комплекс мер по защите инфор- мации и систему антивирусной защиты программных средств, описание целевых функций, механизмов и используемых средств защиты; l правила разграничения доступа; l порядок действий в нештатной ситуа- ции. При создании подсистемы безопасно- сти сети связи должны использовать СрЗИ, имеющие сертификат ФСТЭК Рос- сии, и средства криптографической защи- ты информации, имеющие подтвержде- ние соответствия требованиям, утвер- жденным ФСБ России. Также при экс- плуатации сетей связи, взаимодействую- щих со значимыми объектами КИИ, долж- ны применяться СрЗИ, имеющие серти- фикат ФСТЭК России. Проект приказа Минкомсвязи имеет отсылки к приказам ФСТЭК России по обеспечению безопас- ности значимых объектов критической информационной инфраструктуры (КИИ), которые операторам связи необходимо выполнять, а именно: l при включении в состав подсистемы безопасности сети связи значимых объ- ектов КИИ; l при эксплуатации сетей связи, взаи- модействующих со значимыми объекта- ми КИИ; l при наличии принадлежащих опера- тору связи значимых объектов КИИ. В проекте приказа Минкомсвязи в том числе установлены требования к струк- турным подразделениям и должностным лицам оператора связи, занимающимся обеспечением информационной безопас- ности сети. По проекту приказа Мин- 4 • ПРАВО И НОРМАТИВЫ Обзор изменений законодательства в июле и августе 2020 года Июль-2020 обзоре изменений российского законодательства по информационной безопасности за июль 2020 г. рассмотрим, как регуляторы приводят законодательные нормы к действующей системе сертификации ФСТЭК России, поговорим об ИБ в сфере связи и в финансовом секторе, защите персональных данных. В Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности СрЗИ, соответствующие Уровень защищенности персональных данных уровню доверия в ИСПДн 6-й уровень доверия ИСПДн при 3-м и 4-м уровне защищенности персональных данных 5-й уровень доверия ИСПДн при 2-м уровне защищенности персональных данных 4-й уровень доверия ИСПДн при 1-м уровне защищенности персональных данных СрЗИ, соответствующие уровню доверия 1 http://publication.pravo.gov.ru/Document/View/0001202007100002 2 https://regulation.gov.ru/projects#npa=105879