Начались общественные обсуждения проекта изменений в приказ № 21 ФСТЭК

Начались общественные обсуждения проекта изменений в приказ № 21 ФСТЭК
f84c2d8346f73f02dbb51b00a9eec46d.jpg
ФСТЭК России запустил общественные обсуждения и антикоррупционную экспертизу проекта приказа ФСТЭК России «О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21».

Основное изменение заключается в следующем. При использовании в информационных системах сертифицированных по требованиям безопасности информации СЗИ необходимо установить также сертификацию средств защиты по уровням доверия в соответствии с требованиями по безопасности информации, которые определяют уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Требования по безопасности информации утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131.

Эксперты группы компаний Angara напоминают, что ФСТЭК России установил шесть уровней доверия (самый низкий уровень – шестой, самый высокий – первый), где:

• Средства, соответствующие шестому уровню доверия, применяются в значимых объектах критической информационной инфраструктуры третьей категории, в государственных информационных системах третьего класса защищенности, в автоматизированных системах управления производственными и технологическими процессами третьего класса защищенности, в информационных системах персональных данных при необходимости обеспечения третьего и четвертого уровня защищенности персональных данных.
• Средства, соответствующие пятому уровню доверия, применяются в значимых объектах критической информационной инфраструктуры второй категории, в государственных информационных системах второго класса защищенности, в автоматизированных системах управления производственными и технологическими процессами второго класса защищенности, в информационных системах персональных данных при необходимости обеспечения второго уровня защищенности персональных данных.
• Средства, соответствующие четвертому уровню доверия, применяются в значимых объектах критической информационной инфраструктуры первой категории, в государственных информационных системах первого класса защищенности, в автоматизированных системах управления производственными и технологическими процессами первого класса защищенности, в информационных системах персональных данных при необходимости обеспечения первого уровня защищенности персональных данных, в информационных системах общего пользования второго класса.
•   Средства защиты информации, соответствующие первому, второму и третьему уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Основные требования для получения определенного уровня доверия относятся к процессу разработки средств защиты, выявлению уязвимостей и недекларированных возможностей.
Alt text
Комментарии для сайта Cackle

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group