Приказ фсб россии от 10 июля 2014 г n 378 кратко

Обновлено: 05.07.2024

Приказом ФСБ России от 24 июля 2018 г. N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" .

ФСБ опубликовала перечень информации для предоставления в ГосСОПКА и порядок обмена данными о кибератаках между субъектами критический информационной инфраструктуры (КИИ), а также между субъектами КИИ и уполномоченными органами иностранных государств, CERT и другими организациями. Соответствующие приказы опубликованы на официальном портале правовой информации.

Приказ Федеральной службы безопасности Российской Федерации от 24.07.2018 № 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения"

Задачей НКЦКИ является обеспечение координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

19.05.2015 00:00 Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных.

Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утверждены руководством 8 Центра ФСБ России 31 марта 2015 г. N149/7/2/6-432

10.07.2014 01:00 Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием СКЗИ"

Приказ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационная система) с использованием средств криптографической защиты информации (далее - СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

Приказом установлены требования к защите информации, содержащейся в информационных системах общего пользования. В зависимости от значимости информации такие информационные системы подразделяются на 2 класса. К первому относятся правительственные и иные информационные системы, нарушение целостности и доступности информации которых может привести к угрозе безопасности страны. Все остальные входят во II класс. В зависимости от класса установлены и требования к защите информации. Так, в первых могут применяться лишь сертифицированные ФСБ России средства криптографической защиты, обнаружения вирусов, контроля доступа, фильтрации и блокирования сетевого трафика. В ИС II класса могут использоваться средства защиты, сертифицированные ФСТЭК России.
Методы и способы защиты информации определяются оператором ИС. Он обязан поддерживать целостность и доступность информации, своевременно выявлять и предотвращать неправомерные действия в ее отношении, не допускать воздействие на технические средства ИС. Необходимо обеспечить возможность оперативного восстановления (в течение 8 часов) модифицированной или уничтоженной информации, а также записи и хранения сетевого трафика.

Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

13.06.2001 01:00 Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей

Инструкция определяет единый на территории Российской Федерации порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

Регистрационный N 33620

* Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716, N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. 1), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. 1), ст. 4038.

Оператор персональных данных при их обработке должен принимать необходимые меры по обеспечению их безопасности. Это касается и обработки данных в информационных системах с использованием средств криптографической защиты информации (СКЗИ).

Определен комплекс мер по обеспечению безопасности персональных данных при указанной обработке. Он включает набор организационных и технических мероприятий по защите персональных данных для каждого из четырех уровней защищенности.

Во всех случаях требуется обеспечить сохранность носителей персональных данных; исключить неконтролируемое проникновение или пребывание в помещениях, где размещена информационная система, посторонних лиц. Также следует определить список лиц, которым необходим доступ к персональным данным для выполнения ими служебных (трудовых) обязанностей.

Для нейтрализации актуальных угроз нужно использовать средства защиты информации, прошедшие процедуру оценки соответствия.

Для каждого уровня защищенности персональных данных предусмотрено применение СКЗИ соответствующего класса.

Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

Регистрационный N 33620

Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования

Текст приказа опубликован в "Российской газете" от 17 сентября 2014 г. N 211

Как-то незаметно для всех прошла регистрация в середине августа приказа ФСБ "по персданным" (он же приказ №378 от 10.07.2014), о котором я писал не раз (в частности, тут и тут ). И поскольку текст финального варианта ничем не отличается от проекта, о котором я писал, то много говорить о приказе не хочется. Тем более, что про него уже отписались Саша Бондаренко и Сергей Борисов . Но так как меня просили высказаться, то не могу не сказать пару слов :-)

Итак, я рекомендовал бы исключить нарушение конфиденциальности из числа актуальных угроз. Имеете ли вы на это право? Да, вполне. Отраслевых моделей угроз у нас пока нет. Поэтому пишите свои, устраивающие вас. Рекомендую ли я отказаться от защиты прав субъектов ПДн? Нет, не рекомендую. Просто формальный отказ от конфиденциальности, дает вам право также формально отказаться от применения сертифицированных СКЗИ. Иными словами, уйти из под действия регулятора, который за 3 года так и не смог родить адекватные требования по защите ПДн. А вот уйдя из под регулятора, вы уже в своем праве применять любые средства защиты, включая и несертифицированную, но официально ввезенную криптографию.

ЗЫ. Обратите внимание, что приказ пока официально не опубликован, но вспоминая, что последний приказ ФСТЭК (№31) ждал публикации около месяца с момента регистрации, то и с приказом ФСБ, видимо, будет такая же эпопея - к середине-концу сентября, думаю, стоит ждать официального вступления в силу.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Боитесь что ANONYMOUS опустошат ваши счета ? Хакеры объявили Кибервойну России! Узнай первым , как выжить в цифровом кошмаре!

Мексиканский наркобарон Хоакин Гусман Лоэра (Эль Чапо)

Не так давно в СМИ промелькнула статья о том, что мексиканского наркобарона Эль Чапо арестовали из-за того, что его IT-шник слил криптоключи в ФБР, а те в свою очередь смогли расшифровать и прослушать его телефонные переговоры.

Давайте пофантазируем и представим, что наркобарон, IT-шник и все, все, все жили бы в России…

Представили? А теперь разберем, какими законами и как регулировалось бы применение криптозащиты в данном фантасмагорическом случае.

Об истории и главных действующих лицах поподробнее

Наркобарон Эль Чапо нанял 21-летнего колумбийского IT-специалиста Кристиана Родригеса, чтобы тот создал для него систему зашифрованной мобильной связи, через которую можно было бы общаться с подельниками, не опасаясь прослушки со стороны спецслужб.

После внедрения системы Родригес ее сопровождал, а также занимался другими IT-проектами (например, организовал прослушку жены Эль Чапо), повинуясь воле наркобарона.

В двух словах это все. Теперь перейдем к разбору законов.

Лицензирование

Наша история начинается с того, что Эль Чапо нанял Родригеса на разработку системы защищенной связи.

Если у Родригеса подобной лицензии нет, и он вязлся за работу, то за это ему в соответствии со ст. 13.13 КоАП РФ грозит административная, а в соответствии ст. 171 УК РФ уголовная ответственность.

С учетом того Родригес занимался не только разработкой системы, но также ее внедрением и сопровождением, то навскидку в его лицензии должны присутствовать следующие виды деятельности (нумерация в соответствии с Постановлением Правительства РФ от 16.04.2012 N 313):

3. Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
4. Разработка средств изготовления ключевых документов.
5. Модернизация шифровальных (криптографических) средств.
6. Модернизация средств изготовления ключевых документов.
7. Производство (тиражирование) шифровальных (криптографических) средств.
9. Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
10. Производство средств изготовления ключевых документов.
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
16. Ремонт шифровальных (криптографических) средств.
18. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
19. Ремонт, сервисное обслуживание средств изготовления ключевых документов.
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
21. Передача шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
24. Передача средств изготовления ключевых документов.

Разработка и производство

© Internet картинки

В соответствии с этим документом процесс создания системы защищенной мобильной связи состоит из следующих этапов:

Разработка.
Производство.
Распространие. Не смотря на то, что Родригес делал заказную/кастомную разработку, процесс ее передачи заказчику трактуется как распространение.

Эксплуатация системы защищенной мобильной связи

© Internet картинки

Будем считать, что эксплуатация системы защищенной мобильной связи — это зона ответственности Эль Чапо. Родригес в этом участвует лишь в качестве тех. поддержки.

Для нашей статьи это слишком просто и не интересно.

По материалам расследования установлено, что в телефонных разговорах Эль Чапо давал команды на дачу взяток и подкуп чиновников и скорее всего называл их имена, фамилии и другую личную информацию, то есть персональные данные (далее — ПДн).

Криптографическая защита персональных данных

Поскольку во время телефонных переговоров ПДн передаются в открытом виде через сеть связи общего пользования, Эль Чапо подумал и решил, что велик риск перехвата ПДн злоумышленниками, и, следовательно, информацию нужно шифровать.

Эль Чапо открыл перечень сертифицированных ФСБ России криптосредств и, не найдя ничего подходящего, обратился к Родригесу. Тут наша история, как и многие проекты в ИБ, делает петлю, и мы вновь возвращаемся к этапу разработки. Не вдаваясь в подробности, будем считать, что Родригес подобное криптосредство сделал и сертифицировал в ФСБ на соответствующий класс.

Поскольку Эль Чапо защищает персональные данные, то требования ПКЗ-2005 являются для него обязательными к исполнению. Ничего сверхъестественного в этих требованиях нет, и фактически они лишь заставляют Эль Чапо соблюдать требования технической документации на систему, которые Родригес подготовил и согласовал с ФСБ России.

организацию обучения и допуска бандитов к использованию оборудования защищенной мобильной связи (по науке — допуск пользователей к самостоятельному использованию криптосредств);
поэкземплярный учет программных клиентов системы и криптоключей;
организацию режимных помещений, в которых будет проводиться техническое обслуживание телефонов и формирование криптоключей;
и др.

Вывоз защищенных мобильных телефонов за границу

Заключение

Надеюсь, что на данном фантасмагоричном примере вы смогли получить общие представления об основных направлениях регулирования криптографии в Российской Федерации. Для дальнейшего развития рекомендую ознакомиться с перечнем основных законодательных и нормативно-правовых актов, регулирующих ИБ в России.

Disclimer. Автор, как и все прогрессивное человечество, решительно осуждает незаконную торговлю наркотиками и другую преступную деятельность. Солнце, воздух и вода — наши лучшие друзья.

Главная проблема, по мнению экспертов, — необходимость применения исключительно сертифицированных средств криптографии.

ФСБ выпустило приказ, описывающий набор мер по обеспечению безопасности персональных данных при их обработке с использованием средств криптозащиты.

Большая часть его положений осталась неизменной по отношению к тексту проекта, в отношении которого ведомство еще год назад консультировалась с отраслью.

Документ вступит в силу 28 сентября текущего года.

Проект данного приказа был опубликован ФСБ еще в начале октября 2013 г., и ведомство как на этапе его подготовки, так и в течение двух недель после размещения текста в интернете собирало предложения отрасли.

Судя по обсуждениям, главной претензией к документу было то, что в нем устанавливалась необходимость использовать исключительно сертифицированную криптографию.

Специалисты по безопасности считают, что для весьма существенного числа сценариев обработки персональных данных таких средств криптографии просто нет.

Как сообщил CNews ведущий эксперт InfoWatch по информационной безопасности Андрей Прозоров, его компания также направляла в ФСБ свои замечания по поводу проекта приказа. Помимо вышеупомянутых подходов и требований к использованию сертифицированных средств шифрования InfoWatch предлагала пересмотреть и требования по физической безопасности.

Андрей Прозоров уточняет, что защита персональных данных с использование криптографических средств регламентировалась ФСБ России и ранее. «До этого операторы выполняли положения двух документов: "методические рекомендации. " и "типовые требования. " (оба от 2008 г).

Читайте также: