Обнаружение и анализ демаскирующих признаков
В системе технической разведки реализуется обнаружение и анализ демаскирующих признаков.
Обнаружение демаскирующих признаков заключается в выполнении следующих операций:
- поиск и обнаружение энергии демаскирующих признаков в пространстве, времени, по спектру и т.д.;
- выделение демаскирующих признаков из искусственных и естественных помех.
Анализ демаскирующих признаков заключается в выполнении следующих мероприятий:
- распределение демаскирующих признаков различных объектов;
- оценка параметров демаскирующих признаков;
- сокращение избыточности информации;
- регистрация, накопление и классификация демаскирующих признаков;
- нахождение местоположения источника демаскирующих признаков;
- распознавание смыслового содержания демаскирующих признаков;
- выявление охраняемых сведений.
В соответствии с вышеперечисленным главными направлениями снижения эффективности ТСР являются:
- Противодействие обнаружению демаскирующих признаков.
- Противодействие анализу демаскирующих признаков.
Организация противодействие техническим средствам разведки (ПД ТСР)
Организация ПД ТСР включает в себя следующие мероприятия:
- организация режима и охраны (цель – исключение возможности тайного проникновения на территорию и в помещения посторонних лиц, обеспечение удобства контроля прохода и перемещения сотрудников и посетителей, создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа, контроль соблюдения временного режима труда и пребывания на территорию персонала фирмы, организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и т.д.);
- организация работы с сотрудниками (предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами наказания за нарушение правил защиты информации и т.д.);
- организация работы с документами (в том числе организация разработки и использования документов и носителей конфиденциальной информации, их учет, хранение, исполнение, возврат, размножение и уничтожение);
- организация работы по анализу внутренних и внешних угроз (в том числе выработка мер по обеспечению ее защиты);
- организация использования технических средств (в том числе сбора, обработки, накопления и хранения конфиденциальной информации).
Для каждого конкретного случая настоящие организационные мероприятия носят специфическую форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях. Настоящие организационные мероприятия должны четко планироваться, направляться и осуществляться специально созданным для этих целей структурным подразделением, укомплектованным специалистами по безопасности и защите информации.
Кем осуществляется сертификация ПО в Российской Федерации?
В нашей стране существуют несколько различных систем сертификации, ориентированные на различные типы программного обеспечения (ФСТЭК, ФСБ, Минобороны и др.).
Основными системами сертификации для большей части ПО являются системы сертификации ФСБ и ФСТЭК.
- Сертификация ФСБ предназначена для проверки подсистем ПО, использующих криптографическую защиту (в нашей стране допускаются только российские криптоалгоритмы). Требования систем сертификации ФСБ не являются публичными, ознакомление с ними предполагает наличие специальных допусков.
- Сертификация ФСТЭК предназначена проверки обеспечения технической защиты информации некриптографическими методами. Требования системы сертификации ФСТЭК являются открытыми и опубликованы на официальном сайте.
Текущие программные продукты «1С-Битрикс» не содержат встроенных инструментов криптографической защиты, поэтому сертификация ФСБ для них не требуется. Далее по тексту речь идет только о сертификации ФСТЭК.
Что происходит на ИТ-рынке: уход западных вендоров, нарушение логистики, возможности импортозамещения
По мнению основателя и генерального директора Angara Security Сергея Шерстобитова, ситуация с ограничением поставок в Россию зарубежного оборудования и софта на данный момент неоднозначная. С одной стороны, реагируя на требования американского правительства, многие крупные вендоры действительно объявили о прекращении сотрудничества с российскими и белорусскими заказчиками. С другой стороны, Россия и Беларусь для многих из них представляют заметную долю бизнеса. Локальные представительства этих вендоров, а также региональные менеджеры из Европы не всегда спешат оперативно исполнять указания высшего руководства, занимая выжидательную позицию. Конечно, это не добавляет определенности для заказчиков
В такой ситуации важно не реагировать на слухи и просить комментарий у первоисточника – например, у представителей самого вендора, его технологических партнеров или поставщиков. Также следует быть готовым к тому, что уже завтра политика того или иного вендора будет кардинально отличаться от нынешней
Сергей Шерстобитов, основатель и генеральный директор AngaraSecurity
Зарубежные производители софтверных решений и оборудования по-разному проявляют себя при необходимости исполнения санкций. Часть вендоров оперативно покинула российский рынок – фактически повторив кейс американской ИБ-компании Splunk, которая сделала это внезапно еще в 2019 году. Некоторые вендоры приостанавливают работу в России, замораживают операции и отправляют сотрудников в отпуска, – но при этом не заявляют о полном уходе с рынка. Такие компании придерживаются санкционного списка SDN, но фактически работают – правда, возможно увеличение сроков поставок, такие риски заказчикам нужно закладывать при разработке конкурсных процедур. Кроме того, ряд компаний никак не реагируют на санкции – это, как правило, вендоры не из ведущих по развитию технологий стран.
С точки зрения логистики – из-за геополитического кризиса разрушились старые цепочки поставок. И если морские перевозки на рынке ИТ были востребованы редко (сказываются критично большие сроки поставки), то авиаперевозок это касается в большей степени. «Многие наши зарубежные партнеры уже сейчас тестируют новые сценарии поставок в Россию – возможно, они будут производиться через какие-то из стран Таможенного союза – например, Армению, Казахстан, – которые не попали под санкции. Уверен, что бизнес приспособится, и обходные пути, безусловно, будут найдены», – прокомментировал Сергей Шерстобитов.
По словам спикера, российская индустрия ИБ, к счастью, сильно развита, в отличие от многих сегментов классических ИТ. Необходимые импотронезависимые решения есть практически по всем направлениям: инфраструктурные решения, межсетевые экраны, песочницы, системы обнаружения и предотвращения атак и многое другое. «Я очень рад, что мы за несколько лет существенно продвинулись в этой области. Политической воли на уровне государства и регуляторов оказалось достаточно для того, чтобы на рынке появись более конкурентоспособные российские продукты. Причем, по моим наблюдениям, сегодня российские решения рассматривают как альтернативу зарубежным даже коммерческие компании, не входящие в санкционный список. Сейчас, безусловно, настало время возможностей для всех российских разработчиков», – заявил спикер.
Глава Angara Security отметил, что многие российские вендоры сейчас сохраняют цены на свои продукты на уровне начала 2022 года, но некоторые разработчики все-таки цены поднимают. Это связано не с повышенным спросом (хотя на некоторые продукты он есть) и не с попыткой повысить маржинальность, – а, скорее с использованием этих продуктов в составе комплексных решений (ПАК) на зарубежных аппаратных платформах, которые подорожали в несколько раз.
Сергей Шерстобитов призывает искать положительные стороны в текущей непростой ситуации: «Когда западные компании закрывают бизнес в России, на ИТ-рынке высвобождаются человеческие ресурсы, о дефиците которых уже давно все говорят. Сейчас у российских ИТ-компаний как раз появилась возможность для того чтобы попытаться найти себе нужных специалистов, причем, возможно, на чуть более выгодных, чем раньше, финансовых условиях».
Главные направления снижения эффективности ТСР
При противодействии обнаружению демаскирующих признаков преследуется цель скрытия демаскирующих признаков от ТСР. Другим основным направлением ПД ТСР является техническая дезинформация, которая объединяет все организационно-технические меры противодействия, направленные на затруднение анализа демаскирующих признаков и навязывания противнику ложной информации. Кроме рассмотренных мер, предполагающих нормальное функционирование всех составных частей системы разведки, возможно проведение активных действий по выявлению и выведению из строя элементов системы разведки. Однако, применение данного метода в мирное время ограничено случаями незаконного применения противником технических средств разведки. Таким образом, существуют три основные направления ПД ТСР.
Для проведения ПД ТСР необходима ее четкая организация.
Выход на ГИС
В октябре 2022 года появился еще один знаковый для СКЗИ Приказ ФСБ — №524. Документ представляет порядок применения средств криптографической защиты для государственных информационных систем (ГИС). Регулятор конкретизирует критерии и правила выбора класса СКЗИ, которые давно ожидали в сообществе ИБ.
В документе уточняется, что модель угроз и техническое задание на ГИС нужно согласовывать с ФСБ России. При этом разрешено использовать только сертифицированные СКЗИ.
Именно поэтому, по его мнению, регулятор ввел переходный режим — Приказ вступит в силу лишь 23 ноября 2023 года. К тому моменту пройдет год со дня его официального подписания. Предполагается, что за это время госсектор и вендоры успеют провести все мероприятия по защите ГИС.
Условия получения лицензий ФСБ и ФСТЭК
Лицензия ФСБ
В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» на получение лицензии ФСБ имеют право организации и индивидуальные предприниматели, зарегистрированные в Российской Федерации. Условия для получения лицензии включают в себя:
- Наличие соответствующей квалификации, опыта работы и знаний законодательства РФ
- Наличие собственного помещения для хранения сведений отнесенных к категории «государственная тайна»
- Прохождение медицинского освидетельствования и проверка личности
Лицензия ФСТЭК
Для получения лицензии ФСТЭК необходимо соблюдение следующих условий:
- Организация должна иметь соответствующую правовую форму и статус на территории России
- Организация должна провести специализированные мероприятия для защиты информации, в соответствии с основными требованиями безопасности данных
- Организация должна иметь сертифицированные средства защиты информации
В целом, условия получения лицензии ФСБ затрагивают специфику работы с конфиденциальной информацией, в то время как условия получения лицензии ФСТЭК направлены на обеспечение защиты информации в целом. Это позволяет предприятиям выбирать наиболее подходящий вариант для своей деятельности и выделяться на рынке за счет защиты информации.
Функции ФСБ
Федеральная служба безопасности (ФСБ) — это главная российская служба безопасности, отвечающая за охрану государственной безопасности, защиту государственных интересов и борьбу с терроризмом и экстремизмом.
Функции ФСБ включают:
- Предупреждение и пресечение актов терроризма и экстремизма в России;
- Обеспечение безопасности государственных учреждений и официальных лиц, а также защита границ России;
- Проведение оперативно-разыскных мероприятий и наблюдения за лицами, возможно угрожающими национальной безопасности;
- Охрана конституционного порядка и соблюдения прав граждан России;
- Предотвращение террористических и других преступлений, связанных с использованием насилия, а также борьба с организованной преступностью и контрабандой.
ФСБ имеет право проводить свою деятельность в рамках законов Российской Федерации и с соблюдением конституционных прав граждан. Она также работает в тесном сотрудничестве с другими правоохранительными органами и спецслужбами, как в России, так и за ее пределами.
Классы защиты: СКЗИ для разных ситуаций
За последние 20 лет средства криптозащиты все чаще становились обязательными для бизнеса. Сейчас законодательство требует использовать их при работе с персональными данными, тахографами, налоговой отчетностью, электронным подписанием документов, их долговременным хранением и не только. Список кейсов постоянно пополняется. Проще говоря, без средств криптографической защиты ПО в организации обойтись уже нельзя. И это подтверждает нормативная база.
Один из важнейших правовых актов —
— вышел в 2014 году. В документе даются описание и разница классов криптографической защиты (КС1, КС2, КС3, КВ, КА) для информационных систем, которые используются в работе с персональными данными. И главное — Приказ указывает, как должен осуществляться выбор класса СКЗИ при внедрении корпоративного ПО.
Средств разделяются на основании:
-
возможностей нарушителя: какой у него доступ к системе — может ли он подключиться физически или дистанционно, необходимы ли ему специалисты для проведения атак;
-
объектов защиты: какие это данные, документы, модули системы и т.д.;
-
территории, откуда ведется атака: в контролируемой зоне или за ее пределами.
Все перечисленное характеризует модель нарушителя. Чем она сложнее, тем выше требования информационной безопасности и класс СКЗИ. Так, например, для мобильного доступа сотрудника к системе внутреннего документооборота может быть достаточно КС1, а для сервиса обмена электронными договорами с контрагентами — минимум КС3.
Стоимость получения лицензий
Стоимость получения лицензий ФСБ и ФСТЭК варьируется в зависимости от типа лицензии и региона. Кроме того, на стоимость влияют комплексные услуги и срок действия лицензии.
Для получения лицензии ФСБ нужно заплатить государственную пошлину в размере от 3 000 до 50 000 рублей в зависимости от типа лицензии и региона. Кроме того, необходимо оплатить услуги юридических консультантов и оформление документов.
Для получения лицензии ФСТЭК необходимо оплатить государственную пошлину, которая составляет от 5 000 до 30 000 рублей в зависимости от типа лицензии и региона. Кроме того, необходимо оплатить услуги экспертов и оформление документов.
В целом, получение лицензии ФСБ обходится дороже, чем получение лицензии ФСТЭК. Однако, стоимость зависит от многих факторов и может сильно отличаться в зависимости от конкретной ситуации. Чтобы получить точную информацию о стоимости, рекомендуется проконсультироваться с юридическими экспертами.
Получение лицензии ФСТЭК
Наши специалисты готовы предоставить помощь в получении лицензий ФСТЭК (Федеральная служба по техническому и экспортному контролю России) на деятельности:
— по технической защите конфиденциальной информации (ТЗКИ)
— по разработке и производству средств защиты конфиденциальной информации (СЗКИ)
Лицензия на деятельность ТЗКИ: разрешительный документ на осуществление деятельности по технической защите конфиденциальной информации.
ЕСК оформляет лицензию на услуги:
1) Услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
- в средствах и системах информатизации
- в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается
- в помещениях со средствами (системами), подлежащими защите
- в помещениях, предназначенных для ведения конфиденциальных переговоров (далее — защищаемые помещения)
2) Услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации
3) Услуги по мониторингу информационной безопасности средств и систем информатизации
4) Работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
- средств и систем информатизации
- помещений со средствами (системами) информатизации, подлежащими защите
- защищаемых помещений
5) Работы и услуги по проектированию в защищенном исполнении:
- средств и систем информатизации
- помещений со средствами (системами) информатизации, подлежащими защите
- защищаемых помещений
6) Услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:
- технических средств защиты информации
- защищенных технических средств обработки информации
- технических средств контроля эффективности мер защиты информации
- программных (программно-технических) средств защиты информации
- защищенных программных (программно-технических) средств обработки информации
- программных (программно-технических) средств контроля эффективности защиты информации
Лицензия ФСТЭК на СЗКИ: разрешительный документ на осуществление деятельности по разработке и производству средств защиты конфиденциальной информации.
ЕСК оформляет лицензию на услуги:
1) Разработка средств защиты конфиденциальной информации, в том числе:
- технических средств защиты информации
- защищенных технических средств обработки информации
- технических средств контроля эффективности мер защиты информации
- программных (программно-технических) средств защиты информации
- защищенных программных (программно-технических) средств обработки информации
- программных (программно-технических) средств контроля защищенности информации
2) производство средств защиты конфиденциальной информации, в том числе:
- технических средств защиты информации
- защищенных технических средств обработки информации
- технических средств контроля эффективности мер защиты информации
- программных (программно-технических) средств защиты информации
- защищенных программных (программно-технических) средств обработки информации
- программных (программно-технических) средств контроля защищенности информации
Мы готовы провести работы и оказать услуги по организации процессов обработки персональных данных, обрабатываемых заказчиком.
- Аттестация автоматизированной системы (объекта вычислительной техники)
- Аттестация защищаемого помещения
По персональным данным:
Комплексное обследование процессов персональных данных – от 700 000 руб.
Разработка(актуализация) организационно-распорядительной документации – от 600 000 руб.
Техническое проектирование системы защиты информационных систем персональных данных – от 1 000 000 руб.
Лицензия ФСТЭК
Стоимость от 1 400 000 рублей
Срок оформления 3 месяца
Аттестация автоматизированной системы (объекта вычислительной техники)
Стоимость от 120 000 рублей
Срок оформления зависит от результата аудита
Аттестация защищаемого помещения
Стоимость от 150 000 рублей
Срок оформления зависит от результата аудита
Комплексное обследование процессов персональных данных
Стоимость от 700 000 рублей
Срок оформления зависит от результата аудита
Техническое проектирование системы защиты информационных систем персональных данных
Стоимость от 1 000 000 рублей
Срок оформления зависит от результата аудита
Разработка организационно-распорядительной документации
Стоимость от 600 000 рублей
Срок оформления зависит от результата аудита
Отношение к международному сотрудничеству ФСТЭК и ФСБ: различия во взглядах
ФСТЭК и ФСБ — две ведущие российские службы, ответственные за информационную безопасность страны. Однако, у них существуют существенные различия в отношении к международному сотрудничеству.
ФСТЭК активно развивает международные партнерства и сотрудничество. Служба устанавливает связи с аналогичными организациями других стран, обменивается опытом и информацией о современных методах и тенденциях в области информационной безопасности. ФСТЭК также активно участвует в международных форумах и конференциях по вопросам информационной безопасности.
ФСБ имеет более ограниченный подход к международному сотрудничеству. В отличие от ФСТЭК, ФСБ обычно не разглашает детали своих международных контактов и партнерств. Служба ведет работу в основном в рамках двусторонних отношений с другими спецслужбами. Кроме того, ФСБ активно сотрудничает с другими спецслужбами СНГ по вопросам борьбы с терроризмом и экстремизмом.
ФСТЭК считает, что международное сотрудничество в области информационной безопасности является важным фактором для эффективной борьбы с киберугрозами. Служба активно поддерживает обмен информацией и опытом с зарубежными партнерами, чтобы обеспечить наивысший уровень защиты информационных ресурсов.
В целом, хотя и ФСТЭК, и ФСБ занимаются вопросами информационной безопасности, их подход к международному сотрудничеству различается. ФСТЭК более открыт и активно развивает партнерства, в то время как ФСБ предпочитает более закрытый подход, основанный на двустороннем сотрудничестве и сотрудничестве в рамках СНГ.
Акты, регулирующие деятельность надзорного органа в области обеспечения конфиденциальности и защиты информации
- Постановление Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»
- Постановление Правительства РФ от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»
- Постановление Правительства РФ от 15.04.1995 № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»
- Постановление Правительства РФ от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
- Постановление Правительства РФ от 18.09.2012 № 940 «Об утверждении Правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю»
- Постановление Правительства РФ от 21.11.2011 № 957 «Об организации лицензирования отдельных видов деятельности»
- Постановление Правительства РФ от 26.06.1995 № 608 «О сертификации средств защиты информации»
- Распоряжение Президента РФ от 16.04.2005 № 151-рп «О перечне должностных лиц органов государственной власти и организаций, наделяемых полномочиями по отнесению сведений к государственной тайне»
- Указ Президента РФ от 16.08.2004 № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю»
- Указ Президента РФ от 17.12.2011 № 1661 «Об утверждении Списка товаров и технологий двойного назначения, которые могут быть использованы при создании вооружений и военной техники и в отношении которых осуществляется экспортный контроль»
- Указ Президента РФ от 30.11.1995 № 1203 «Об утверждении Перечня сведений, отнесенных к государственной тайне»
- Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»
- Федеральный закон от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»
- Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании»
Проверки ИСПДн ФСТЭК России
При проведении проверок оценивается выполнение в организации требований
нормативных документов:
-
Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О ПДн» и принятыми в соответствии с ним НПА,
операторами, являющимися государственными или муниципальными органами, утвержден постановлением Правительства РФ от 21.03.2012 г. №211; - Требования к защите ПДн при их обработке в ИСПДн, утверждены постановлением Правительства РФ от 1.11.2012 г. №1119;
- Требования о ЗИ, не составляющей гос. тайну, содержащейся в ГИС, утверждены приказом ФСТЭК России от 11.02.2013 г. №17;
-
Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных, утверждены приказом ФСТЭК России от 18.02.2013 г. №21; - Базовая модель угроз безопасности ПДн при их обработке в ИСПДн, утверждена Заместителем директора ФСТЭК России 15.02.08 г.;
- Методика определения актуальных УБ ПДнпри их обработке в ИСПДн, утверждена Заместителем директора ФСТЭК России 14.02.2008 г.;
-
Информационное сообщение по вопросам ЗИ и ОБ ПДн при их обработке в ИС в связи с изданием приказа ФСТЭК России
№17 и №21 от 15 июля 2013 г. № 240/22/2637.
Следует учесть, что для обеспечения безопасности ПДн при их обработке в ГИС в дополнение к Требованиям (Приказ
№17 от 11.02.2013 г.) необходимо руководствоваться Требованиями,
в том числе для определения уровня защищенности ПДн, устанавливаемыми постановлением Правительства РФ
от 1.11.2012 г. №1119.
Согласно информационному сообщению «О необходимости получения лицензии ФСТЭК России на деятельность по ТЗ
конфиденциальной информации в случаях, связанных с обработкой ПДн» от 31.07.2018 г.
№240/13/3330, оператору не требуется получать лицензию
на деятельность по ТЗКИ при обработке ПДн в ИСПДн для собственных нужд.
Оператору необходимо иметь указанную лицензию при оказании другому
оператору услуг по обработке ПДн по его поручению в собственной ИСПДн на основании заключенного между ними договора
при наличии в таком договоре хотя бы одной из услуг, предусмотренных в пункте 4
постановления Правительства РФ от 3.02.2012 г. №79: «О лицензировании
деятельности по технической защите конфиденциальной информации».
Что такое ФСТЭК России и каковы его функции?
ФСТЭК России (до 2004 года – Гостехкомиссия России) — это федеральный орган исполнительной власти, обладающий следующими полномочиями :
- обеспечение безопасности информации в ключевых системах информационной и телекоммуникационной инфраструктуры;
- противодействие иностранным техническим разведкам;
- обеспечение технической защиты информации некриптографическими методами;
- осуществление экспортного контроля.
В соответствии с положением о ФСТЭК России одной из ее основных задач является организация деятельности государственной системы противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой.
Все нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.
Проверки ИСПДн ФСБ России и ФСТЭК России
Согласно пункту 8 статьи
19 Федерального закона от 27.07.2006
№152-ФЗ «О персональных данных» контроль и надзор
за выполнением организационных и технических мер по обеспечению безопасности ПДн, осуществляются федеральным
органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ), и
федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и
технической защиты информации (ФСТЭК), в пределах их полномочий и без права ознакомления с ПДн,
обрабатываемыми в ИСПДн.
Кроме того, ФСБ, и ФСТЭК, решением Правительства Российской Федерации с
учетом значимости и содержания обрабатываемых ПДн могут быть наделены
полномочиями по контролю за выполнением организационных и технических мер
по обеспечению безопасности ПДн, при их обработке в ИСПДн, эксплуатируемых
при осуществлении определенных видов деятельности и не являющихся ГИС ПДн, без права ознакомления с ПДн,
обрабатываемыми в ИСПДн.
Требования к защите ПДн для каждого из уровней защищенности, список организационных и технических мер по
обеспечению безопасности ПДн при их обработке в ИСПДн устанавливаются также ФСБ и ФСТЭК:
-
Приказ ФСБ РФ от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер
по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием средств криптографической защиты
информации, необходимых для выполнения установленных Правительством РФ требований к защите» определяет меры
по защите ИСПДн, при использовании в них СКЗИ; -
Приказ ФСТЭК от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер
по обеспечению безопасности ПДн при их обработке в информационных системах ПДн» определяет меры по защите ИСПДн,
без использования СКЗИ.