Действующий

Об утверждении Регламента использования Единой информационной коммуникационной среды Курской области (с изменениями на 26 января 2021 года)



15. Требования к классу защищенности информационных систем с ограниченным доступом. Требования к программно-аппаратным средствам защиты информации


Обеспечение защиты информации в информационных системах осуществляется в соответствии с приказами ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (далее - Приказ ФСТЭК России N 17), от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" в зависимости от вида ИС.


Классификация ИС осуществляется на основании требований Приказа ФСТЭК России N 17 и проводится в зависимости от значимости обрабатываемой в ней информации и масштаба ИС (федеральный, региональный, объектовый).


Устанавливаются три класса защищенности ИС, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс - третий, самый высокий - первый.


Требования к системе защиты информации ИС определяются в зависимости от класса защищенности ИС и угроз безопасности информации, включенных в модель угроз безопасности информации.


Класс защищенности определяется для ИС в целом и, при необходимости, для ее отдельных сегментов (составных частей). Требование к классу защищенности включается в техническое задание на создание ИС и (или) техническое задание (частное техническое задание) на создание системы защиты информации ИС, разрабатываемые с учетом ГОСТ 34.602 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" (далее - ГОСТ 34.602), ГОСТ Р 51583 и ГОСТ Р 51624.


Класс защищенности ИС подлежит пересмотру при изменении масштаба ИС или значимости обрабатываемой в ней информации.


В случае обработки в ИС информации, содержащей персональные данные, необходимо определить уровень защищенности персональных данных в соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и соотнести его с ранее определенным классом защищенности в соответствии с Приказом ФСТЭК России N 17 следующим образом:


для ИС 1-го класса защищенности обеспечивают 1-й, 2-й, 3-й и 4-й уровни защищенности персональных данных;


для ИС 2-го класса защищенности обеспечивают 2-й, 3-й и 4-й уровни защищенности персональных данных;


для ИС 3-го класса защищенности обеспечивают 3-й и 4-й уровни защищенности персональных данных.


Если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности ИС, осуществляется повышение класса защищенности до значения, обеспечивающего выполнение определенного уровня защищенности персональных данных.


Для обработки конфиденциальной информации необходимо использовать технические и программные средства, удовлетворяющие установленным в соответствии с действующим законодательством требованиям, обеспечивающим защиту информации. Требования к программно-аппаратным средствам защиты информации государственных ИС устанавливаются в Приказе ФСТЭК России N 17 в соответствии с определенным классом защищенности для ИС.


Для передачи информации по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации. Применяемые при этом средства защиты информации должны быть сертифицированы.


Подключение ИС операторов к ЕИКС Курской области должно осуществляться в соответствии с требованиями действующего законодательства в сфере защиты информации.