Журнал "Information Security/ Информационная безопасность" #2, 2020

ФСТЭК России разрабо- тала для субъектов критиче- ской информационной инфраструктуры рекоменда- ции по обеспечению без- опасности объектов КИИ при реализации дистанцион- ного режима исполнения работниками должностных обязанностей. ФСТЭК России 5 марта 2020 г. разместила для общего доступа выписку из Требований по безопасно- сти информации, устанавли- вающих уровни доверия к средствам технической защиты информации и сред- ствам обеспечения безопас- ности информационных тех- нологий. Банком России совмест- но с ФСБ России разработа- ны и опубликованы требова- ния к средствам криптогра- фической защиты информа- ции. При реализации рекомен- даций необходимо использо- вать ГОСТ Р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защи- та информации финансовых организаций. Базовый состав организационных и техниче- ских мер" (далее – ГОСТ Р 57580.1–2017). В частности, в ГОСТ Р 57580.1–2017 выде- лен целый блок под описание мер по защите информации при осуществлении удален- ного логического доступа работников финансовой орга- низации с использованием мобильных (переносных) устройств. В информационном сообще- нии Банк России также уста- навливает временные регуля- торные послабления в отноше- нии финансовых организаций, допустивших нарушение требо- ваний нормативных актов Банка России. Требования доверия ФСТЭК России 5 марта 2020 г. разместила для общего доступа выписку из Требований по без- опасности информации, уста- навливающих уровни доверия к средствам технической защиты информации и средствам обес- печения безопасности инфор- мационных технологий, утвер- жденных приказом ФСТЭК Рос- сии от 30 июля 2018 г. № 131 5 (далее – Требования к уровням доверия). Выполнение Требований к уровням доверия является обязательным при проведении работ по оценке соответствия (включая работы по сертифи- кации) средств защиты инфор- мации (далее – СрЗИ). Требо- вания к уровням доверия носят гриф "для служебного поль- зования", а СрЗИ, соответ- ствующие 1, 2 и 3 уровням доверия, должны применяться в информационных (автома- тизированных) системах, обра- батывающих информацию, содержащую сведения, составляющие государствен- ную тайну. Поэтому опублико- ванная выписка содержит лишь информацию о требова- ниях, предъявляемых к 4, 5 и 6 уровням доверия. Информация о том, в каких случаях необходимо приме- нение СрЗИ, соответствую- щих 4, 5 и 6 уровням доверия, приведена в таблице. СКЗИ и 382-П Банком России совместно с ФСБ России разработаны и опубликованы требования к средствам криптографиче- ской защиты информации (далее – СКЗИ), которые ука- заны в п. 2.20 положения Банка России от 9 июня 2012 г. № 382-П. Напомним, что с 1 января 2024 г. указанием Банка России от 07.05.2018 г. № 4793-У положение № 382-П дополняется новым п. 2.20. Абзацы третий – пятый ука- занного пункта вступают в силу с 1 января 2031 г. К СКЗИ, в частности, отно- сятся: l аппаратный модуль (HSM- модуль); l платежные устройства с тер- минальным ядром; l платежные карты. Перечень документов, уста- навливающих требования к вышеуказанным СКЗИ, приве- ден ниже: l требования к средствам криптографической защиты информации в платежных устройствах с терминальным ядром, серверных компонен- тах платежных систем (HSM- модулях), платежных картах и иных технических средствах информационной инфра- структуры платежной систе- мы, используемых при осу- ществлении переводов денежных средств, указанных в п. 2.20 положения Банка России от 9 июня 2012 г. № 382-П 6 ; l функционально-техниче- ские требования к техниче- ским средствам и программ- ному обеспечению, реализую- щим СКЗИ в платежных устройствах с терминальным ядром 7 ; l функционально-технические требования к платежным кар- там (криптомодуль, приложе- ние) 8 ; l функционально-технические требования к аппаратному модулю безопасности (HSM- модуль) 9 ; l порядок взаимодействия участников процесса поддер- жания актуального состояния функционально-технических требований к средствам криптографической защиты информации 10 . • 19 ПРАВО И НОРМАТИВЫ www.itsec.ru СрЗИ, Класс систем, требующий применения Уровни контроля соответствующие соответствующих СрЗИ по выявлению уровню доверия уязвимостей и НДВ 6 уровень доверия Значимые объекты КИИ 3 категории 6 уровень контроля ГИС 3 класса защищенности АСУ производственными и технологическими процессами 3 класса защищенности ИСПДн при 3 и 4 УЗ ПДн 5 уровень доверия Значимые объекты КИИ 2 категории 5 уровень контроля ГИС 2 класса защищенности АСУ производственными и технологическими процессами 2 класса защищенности ИСПДн при 2 УЗ ПДн 4 уровень доверия Значимые объекты КИИ 1 категории 4 уровень контроля ГИС 1 класса защищенности АСУ производственными и технологическими процессами 1 класса защищенности ИСПДн при 1 УЗ ПДн Информационные системы общего пользования 2 класса Таблица. 5 https://fstec.ru/127-lenta-novostej/2051-informatsionnoe-soobshchenie-24 6 https://www.cbr.ru/Content/Document/File/104752/FT_32.pdf 7 https://www.cbr.ru/Content/Document/File/104753/FT_33.pdf 8 https://www.cbr.ru/Content/Document/File/104754/FT_34.pdf 9 https://www.cbr.ru/Content/Document/File/104755/FT_35.pdf 10 https://www.cbr.ru/Content/Document/File/104756/FT_36.pdf