13.02.14
Нормативно-правовые акты (НПА).
Нормативно-правовой акт —
Признаки НПА:
1) они имеют правотворческий характер: устанавливают, изменяют или отменяют нормы права
2) создаются только в пределах компетенции правотворческого органа,
3) имеют документальную форму
4) имеют следующие реквизиты: вид нормативного акта, его наименование, орган, его принявший, дату, место принятия акта, номер
5) каждый НПА должен соответствовать конституции РФ и не противоречить тем НПА, которые имеют большую юридическую силу
6) все НПА обязательно подлежат доведению до сведения граждан и организаций
Требования, предъявляемые к НПА:
1) нормативные акты должны отражать объективную реальность
2) общество должно быть "дозревшим", должны быть необходимые условия
3) НПА должны иметь структуру, а не представлять хаотичный набор нормативных положений. Структура: преамбула — определение терминологии — субъекты правоотношений (налогоплательщики) — объекты (получаемый доход) — права и обязанности (обязанность уплатить налоги) — санкции
4) НПА должны быть доступными для понимания гражданами
Виды НПА:
1) международные акты, ратифицированные государством (принимают международные организации)
2) конституция РФ (принимает народ)
3) законы РФ (принимает гос дума РФ)
4) указы (принимает президент РФ)
5) постановления (принимает правительство РФ)
6) инструкции (принимают министерства)
7) законы (принимаются думами)
8) указы (пинимаются губернаторами)
9) постановления (принимаются администрациями краев, республик и тд)
10) решения (принимаются органами местного самоуправления)
11) корпоративные акты (принимаются организациями)
2) - 6) — федеральный уровень.
7) - 9) — региональный уровень
10) - 11) — местный уровень
НПА делятся на законы и подзаконные акты (законы обладают выше юридической силы).
Законы — НПА, принятые в особом порядке органами законодательной власти, регулирующие важнейшие общественные отношения и обладающие высшей юридической силы.
По своей значимости ФЗ делятся на группы:
1) конституционные законы, регулирующие вопросы общественной жизни, отнесенные к предмету Конституции РФ
2) текущие (обычные) законы, принимаемые для урегулирования всех остальных важных вопросов жизни общества
Разновидность текущих законов — кодексы, которые представляют собой сложные систематизированные акты. Как правило, в кодексе располагаются все или самые главные нормы какой-нибудь области права.
Указы издает президент РФ по вопросам, относящихся к его компетенции. Он является одновременно является главой государства, главой исполнительной власти (гарант Конституции, вопросы структуры исполнительной власти, обороны, охраны общественного порядка, гражданства, награждения).
Постановления издаются Правительством РФ. Решение вопросов социально-экономического характера. Выработка механизма, порядка исполнения законов, принятых парламентом.
Нормативными актами министерств являются инструкции, приказы, положения, наставления, правила, уставы. Инструкции — регулирование основных видов служебной деятельности, функциональные обязанности работников определенной категории.
Региональный и местный уровень.
Нормативные акты законодательных органов субъектов Федерации — законы, это более распространенное наименование. Бюджет, налоги, приватизация — наиболее серьезные вопросы регионального нормотворчества.
Нормативные акты губернаторов краев, областей называются указами.
Нормативные акты администрации краев, областей принято именовать постановлениями. Они могут регулировать различные вопросы: порядок предоставления в аренду помещений, земельных участков, взимание платы за проезд в общественном транспорте и тп.
Акты органов местного самоуправления называются решениями. Они издаются по вопросам местного значения.
Корпоративные (внутриорганизационные, внутрифирменные) нормативные акты — акты, которые издаются различными организациями для регламентации своих внутренних вопросов и распространяются на членов этих организаций.
Нормативно-методические документы.
Нормативно-методическое обеспечение — совокупность документов, устанавливающих нормы, правила, требования, используемые при решении задач организации и утвержденные в установленном порядке компетентным соответствующим органом или руководством организации.
Три группы нормативно-методических материалов:
1) нормативно-справочные документы
2) документы организационного, организационно-распорядительного и организационно-методического характера
3) документы технического, технико-экономического и экономического характера.
Нормативно-справочные документы — включают нормы и нормативы, необходимые при решении задач организации и планирования. Пример: первичные нормы времени и расценки, нормы времени на выполнение процедур, производственные нормы и нормативы, полученные на основе первичных.
Документы организационного характера — регламентируют задачи, функции, права, обязанности подразделений и отдельных работников, а также содержат методы и правила выполнения работ. Сюда входят указы президента, постановления правительства, руководящие документы (положения, инструкции), НПА министерств, ведомств, НПА руководителя организации.
Правовые основы защиты информации.
Первый уровень.
1) Международные конференции об охране информационной собственности, промышленной собственности и авторском праве защиты информации в интернете
2) Конституция (ст. 23 определяет право граждан на тайну переписки)
3) ГК РФ (ст. 139 право на возмещение убытков от утечки с помощью незаконных методов)
4) УК РФ (ст. 272 ответственность за неправомерный доступ, 273 создание и использования и распространения вредоносных программ, 274 нарушение правил эксплуатации ЭВМ, систем и сетей)
5) ФЗ "об информации, информатизации м защите информации" от 20.02.95 #24-ФЗ (ст. 10 разнесение информационных ресурсов по категориям доступа: открытая информация, гос тайна и конфиденциальная информация, ст. 21 определяет порядок защиты информации)
6) ФЗ "О государственной тайне" 5485-1 от 21.07.93. Ст. 8 — определение степеней секретности, ст. 20 об органах, которые этим занимаются, ст. 28 порядок сертификации
7) ФЗ "О лицензировании отдельных видов деятельности" 128-ФЗ от 08.08.01
8) ФЗ "О связи" 15-ФЗ от 16.02.95 глава 6
9) ФЗ "Об электронной подписи" 1-ФЗ от 10.01.02
10) ФЗ "О правовой охране программ и электронных вычислительных машин и баз данных" 3523-1 от 23.09.92.
На втором уровне — подзаконные акты: указы президента, постановления правительства, письма высшего арбитражного суда и постановления пленумов Верховного суда РФ.
К третьему уровню относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем. Здесь присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся гос органами.
Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения.
Руководящий документ — это документ, в котором описана какая-то техническая сторона производственной деятельности. Также здесь часто указывают различные виды работ; правила организации и выполнения внутренней деятельности. Разработкой занимаются профильные гос ведомства, их могут составлять и руководители предприятий. Но каждый составленный документ должен в обязательном порядке пройти согласование в государственных контролирующих органах.
Методический документ — содержит состав, содержание, правила выбора и реализации организационных и технических мер защиты информации.
Методические рекомендации — предназначены для оказания помощи в какой-либо области в части соблюдения законодательства.
Методическая инструкция — обеспечение реализации в единой государственной политики в какой-либо области.
Методическое руководство — разрабатывается в целях обеспечения выполнения требований законодательства и оказания организационно-методической помощи предприятиям и организациям РФ.
19.02.15
Стандартом называются документы, в которых в целях многократного использования представлены характеристики продукции, промышленные процессы, услуги и так далее.
Цели введения стандартов:
1) выполнение многих требований стандартов закреплено законодательно
2) в стандартах собраны проверенные рекомендации, характеристики и так далее.
Стандарты делятся на оценочные стандарты и спецификации. Оценочные предназначены для оценки и классификации различных систем и методов (например методов защиты информации).
Оценочные стандарты (примеры):
1) оранжевая книга — международный стандарт
2) руководящие докуметы ФСТЭК
3) общий критерий — commer criteria — международный стандарт.
Спецификации — охватывают различные аспекты в какой либо области, например регламентируют использование средств и методов защиты (например криптографические методы защиты).
Руководящие документы ФСТЭК.
Руководящие документы:
1) средства вычислительной техники. Защита от несанкционированного доступа. Показатели защищенности.
2) автоматизированные системы. Защита от несанкционированного доступа. Показатели защищенности.
3) межсетевые экраны. Средства вычислительной техники. Показатели защищенности.
4) средства вычислительной техники и автоматизированные системы. Программное обеспечение средств защиты информации.
5) концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа.
В концепции содержится:
1) модель нарушителя.
Нарушитель — человек, имеющий доступ к системе, способный:
А) запускать программные средства из определенного набора (согласно его правам доступа);
Б) пользователь, который может запускать процессы в обход средств защиты;
В) способный модифицировать компоненты автоматизированной системы, управлять ее функционированием;
Г) занимающийся проектированием автоматизированных систем.
2) Основные способы несанкционированного доступа:
1) запуск программ пользователя
2) запуск программ в обход защиты
3) модификация средств защиты автоматизированной системы
4) внедрение программных или технических механизмов, нарушающих структуру автоматизированной системы и систем вычислительной техники.
3) Основные принципы защиты от несанкционированного доступа:
1) работа в соответствии с принципами, законами, требованиями, стандартов и иных нормативных документов
2) использование программно-технических средств
3) использование программно-технических средств с использованием организационных мер
4) планирование методов защиты информации на всех этапах работы с автоматизированной системой
5) защита информации не должна влиять на надежность, быстродействие, возможности конфигурирования автоматизированной системы
6) оценки контроля эффективности средств защиты.
4) Согласно концепции защита обеспечивается средствами разграничения доступа (СРД).
Защита автоматизированной системы — Защита устройств + защита информационных потоков.
Система вычислительной техники делятся на семь классов, автоматизированная система — на девять классов.
Разграничение доступа:
1) мандатные — все объекты распределяются по уровням секретности. Каждый субъект может записывать или читать информацию с того уровня, над которым преобладает.
2) дискретные — создается матрица доступа.
3) ролевой (в стандартах не упоминается) — вводится понятие роли — абстрактная сущность, которой соответствуют определенные права доступа. Обычно роли прикрепляют к должностям. Один пользователь может играть несколько ролей.
4) верифицированный — проверенный, доступ подтверждается сторонними организациями, работающих в сфере безопасности.
Классификация автоматизированных систем (из документа "Автоматизированные системы. Защита от несанкционированного доступа. Показатели защищенности.").
Различают девять классов, которые делят на три группы. Первая группа включает два класса — 3А и 3Б. Вторая группа — 2А и 2Б. Третья группа — 1А, 1Б, 1В, 1Г, 1Д. Классы 3А и 3Б содержат автоматизированные системы, которые являются однопользовательскими.
Вторая группа — многопользовательские с равным доступом. Третья группа — многопользоватильские с разграничением доступа.
Буква А в 3А и 2А означает, что автоматизированная система содержит конфиденциальную информацию. Д — данные для служебного пользования. Г — персональные данные. В — может содержать секретные сведения. Б — с грифом совершенно секретно. А — особой важности.
Перечень мероприятий, используемых при защите:
1) регистрация и учет пользователей
2) идентификация, проверка подлинности, контроль доступа
3) управление потоками информации
4) учет носителей информации
5) очистка памяти
6) сигнализация попыток нарушения защиты
7) шифрование конфиденциальной информации
8) шифрование данных пользователей
9) использование сертифицированных средств криптографической защиты
10) обеспечение целостности системы
11) физическая защита
12) наличие администратора службы защиты информации
13) наличие средств восстановления
14) периодические проверки
15) использование сертифицированных средств защиты информации.
Межсетевые экраны.
Делятся на пять классов.
Соответствие классов межсетевых экранов и классов автоматизированных систем:
5 — 1Д
4 — 1Г
3 — 1В
2 — 1Б
1 — 1А
Автоматизированные системы 3Б и 2Б могут использовать любой из этих классов. 3А и 2А — не ниже третьего.
Функции межсетевых экранов:
1) обеспечение управления доступа
2) регистрация и учет
3) администрирование: регистрация и учет
4) администрирование: простота использования
5) обеспечение целостности
6) восстановление
7) тестирование
8) руководство администратора
9) результаты проведенных тестов
10) конструкторская (проектная) документация.
27.02.15
Три составляющие системы защиты информации.
Система защиты информации в РФ — лицензирование, сертификация, аттестация.
В государственной сфере — обычно лицензирование и сертификация, в негос сфере — сертификация и аттестация.
Лицензирование — деятельность, связанная с предоставлением лицензий, переоформлений документов и другими действиями, связанные с лицензиями (аннулирование, приостановление, возобновление и так далее).
Лицензия — специальное разрешение на осуществление конкретного вида деятельности, удовлетворяющего условиям лицензии.
Сертификация — процедура подтверждения соответствия сторонней организацией в письменной форме того, что продукция соответствует стандартам.
Аттестация — официальное подтверждение наличия на объекте защиты необходимых и достаточных условий, обеспечивающих выполнение установленных требований руководящих документов по защите информации.
Подсистемы защиты автоматизированных систем:
1) управления доступом
2) регистрации и учета
3) криптографической
4) обеспечения целостности
Классы автоматизированных систем 3А, 2А, 1А, 1Б, 1В могут содержать секретную информацию, и использовать сертифицированные средства вычислительной техники:
1) не ниже 4 класса — для класса защищенности автоматизированной системы 1В
2) не ниже 3 класса — для класса защищенности автоматизированной системы 1Б
3) не ниже 2 класса — для класса защищенности автоматизированной системы 1А
Сертифицированных СВТ — шесть классов. Седьмой требованиям не удовлетворяет.
СВТ. Показатели защищенности — 21 показатель. Принципы доступа, идентификация, аутентификация, документация, регистрация, тестирование, сопоставление пользователя с устройством.
Таблица. Классы защищенности.
АС. СВТ. Межсетевые экраны
1Д. Любой Не ниже 5
1Г. Любой Не ниже 4
1В. Не ниже 4. Не ниже 3
1Б. Не ниже 3. Не ниже 2
1А. Не ниже 2. Не ниже 1
2А. 1-6 Не ниже 3
3А. 1-6 Не ниже 3
2Б. Любой Не ниже 5
3Б Любой Не ниже 5
А — грифы
1 — многопользовательские с разграничением прав доступа
2 — многопользовательские с равными правами
3 — однопользовательская
Группы СВТ:
1) первая группа содержит только седьмой класс
2) вторая группа характеризуется дискретной защитой и содержит шестой и пятый классы
3) третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы
4) четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
Программное обеспечение средств защиты.
Уровень контроля определяется выполнением набора требований, предъявляемого
1) к составу и содержанию документации
2) к содержанию испытаний.
Самый высокий уровень контроля — первый, достаточен для ПО, используемого при защите информации с грифом Особой важности. Использование для оценки сертифицированных средств.
Второй достаточен для ПО, используемого при защите информации с грифом Совершенно секретно. Предъявляются те же требования, что и ко второму, плюс те же требования к документации.
Третий достаточен для ПО, используемого при защите информации с грифом Секретно. Контроль избыточности, особенности функционирования модулей, особенности программного кода.
Самый низкий уровень контроля — четвертый, достаточен для ПО, используемого при защите конфиденциальной ифнормации. Программы должны работать согласно описанию.
Общие критерии.
Полное название ГОСТ Р ИСО/МЭК 15408-1—2002 методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
Документ был принят в 2002 году и является переводом международного стандарта ISO/IEC 15408-199 общие критерии. Данный документ был подготовлен международным сообществом в 1999 году на основе нескольких национальных стандартов:
1) американский стандарт. Оранжевая книга TCSRC. Взят принцип классификации.
2) европейский стандарт BITSEC. Взяты требования доверия и группировка по уровням доверия.
3) канадский стандарт
Документ состоит из трех частей:
1) введение
2) функциональные требования
3) требования к доверию.
Функциональные требования определяют требования к функционированию объекта, то есть как и что объект должен делать, какие меры защиты должны быть включены.
Требования к доверию определяет доверие к безопасности. Достижение уверенности, корректности работы функциональных требований.
Ответственным является владелец. Составляется список угроз и контрмер для каждой угрозы. Система должны быть устойчива к атакам, в том числе и к не предусмотренным. Ущерб должен быть минимальным.
Термин "класс" применяется для наиболее общего группирования требований безопасности. Все составляющие класса имеют общую направленность, но различаются по охвату целей безопасности.
Семейство— группа наборов требований безопасности, имеющих общие цели безопасности, но различающихся акцентами или строгостью.
Компонент описывает специфический набор требований безопасности, который является выбираемым набором требований безопасности для включения в структуры.
Документ содержит только требования, но не содержит механизмы реализации.
На основе общих критериев составляются два документа:
1) профиль защиты
2) задание по безопасности.
Профиль защиты — независимая от реализации совокупность требований безопасности для некоторой категории объекта защиты, отвечающая специфическим запросам потребителя.
Задание по безопасности — совокупность требований безопасности и спецификаций, предназначенная для использований в качестве основы для оценки конкретного объекта защиты.
Обозначение функциональных требований. Первая буква F — функциональное требование, DP — класс "защита данных пользователя" _IFF — семейство"функции управления информационными потоками", 4 — четвертый компонент "частичное устранение неразрешенных информационных потоков", 2 — второй элемент компонента.
СВТ сертифицируют, АС аттестуют.
Сертификацией занимаются:
1) ФСТЭК
2) мин обороны
3) ФСБ.
Основные участники сертификации
1) федеральный орган
2) центральный орган
3) орган по сертификации
4) лаборатории для сертификации
5) заявители.
Координирующий орган по вопросам сертификации — межведомственная комиссия. Она занимается: согласование стандартов по продукции, участвует в разработке, утверждает перечень средств защиты информации.
Разница сертификации для единичных — испытание, и все, а для серийного производства — еще и последующий контроль
02.04.15
Лицензирование.
Перечень федеральных органов исполнительной власти, осуществляющих лицензирование конкретных видов деятельности.
ФСБ России, ФСЭК России: разработка и производство средств защиты конфиденциальной информации
ФСТЭК России: деятельность по технической защите конфиденциальной информации
ФСБ России: разработка, производство, распространение криптографических средств, информационных систем и телекоммуникационных систем, защищенных с использованием криптографических средств, выполнение работ, оказание услуг в области шифрования информации. Так же занимается негласными средствами получения информации.
При осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации лицензированию подлежат следующие виды работ:
1) разработка
А) защита информации, обработка информации и контроль эффективности технических и программных средств защиты
2) производство
А) защита информации, обработка информации и контроль эффективности технических и программных средств защиты.
В постановлении номер 171 пункты 4 и 6 про ФСЭК , 5 и 7 про ФСБ, причем пункты 4 и 5 для получения лицензии требования, 6 и 7 для лицензиатов (получившие лицензию).
Переоформление лицензии происходит при:
1) лицензиат хочет выполнять новые работы
2) при намерении осуществлять не по адресу, указанному в лицензии.
Постановление о лицензировании деятельности по технической защите конфиденциальной информации. Номер 79. Особенностью документа является то, что он ориентирован на закон о лицензировании 2001 года.
ФТЭК выдает лицензию бессрочно, ФСБ — на пять лет.
Положение о лицензировании деятельности шифровальных средств. Номер 691.
К шифровальным средствам относятся:
1) средства шифрования
2) средства имитозащиты
3) средства электронной цифровой подписи
4) средства кодирования
5) средства изготовления ключевых документов
6) ключевые документы.
Настоящее положение не распространяется на деятельность по распространению:
1) шифровальных средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли
2) персональных кредитных карточек
3) портативных или мобильных радиотелефонов гражданского назначения
4) приемной аппаратуры радиовещания
5) специально разработанных и применяемых только для банковских и финансовых операций шифровальных средств
6) специально разработанных и применяемых только в составе контрольно-кассовых машин шифровальных средств защиты фискальной памяти
7) шифровальных средств, реализующих симметричные криптографические алгоритмы.
Лицензионными требованиями и условиями при распространении шифровальных средств являются:
1) выполнение нормативных правовых актов РФ
2) выполнение нормативных документов лицензирующего органа
3) представление в лицензирующий орган перечня шифровальных средств, используемой при осуществлении лицензируемой деятельности
4) ввоз на территорию РФ в порядке, установленном нормативными правовыми актами РФ
5) представление в лицензирующий орган по его запросу образцов шифровальных средств иностранного производства
6) наличие принадлежащих лицензиату на праве собственности или на ином законном основании сооружений, помещений, технологического, испытательного, контрольно-измерительного оборудования и иных объектов, необходимых для осуществления лицензируемой деятельности
7) обслуживание указанного оборудования в соответствии с регламентом
8) использование программ или баз данных третьими лицами на основании договора с правообладателями
9) наличие системы поэкземплярного учета шифровальных средств
10) установление порядка доступа лиц к конфиденциальной информации, связанной с осуществлением лицензируемой деятельности
11) обеспечение безопасности хранения, обработки и передачи по каналам связи конфиденциальной информации, связанной с осуществлением лицензированной деятельности
16.04.15
Аттестация объектов информатизации. Информационные системы.
Требования к защите персональных данных при их обработке в информационных системах персональных данных. Постановление от 01.11.2012 номер 1119.
ИС— информационная система.
ПД — персональные данные.
Информационные системы персональных данных:
1) ИС, обрабатывающая специальные категории ПД (о расовой, национальной принодлежности, политических взглядов...)
2) ИС, обрабатывающая биометрические ПД (на их основании можно установить личность человека)
3) ИС, обрабатывающая общедоступные ПД (полученные только из общедоступных ПД)
4) ИС, обрабатывающая иные категории ПД, если в ней не обрабатываются ПД, указанные в 1-3 пунктах
5) ИС, обрабатывающая ПД сотрудников оператора, если в ней обрабатываются ПД только указанных сотрудников.
Типы угроз:
1) 1 тип: угрозы, связанные с наличием недокументированных возможностей в системном ПО
2) 2 тип: угрозы, связанные с наличием недокументированных возможностей в прикладном ПО
3) 3 тип: угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном ПО.
Уровни защищенности ПД в ИС:
Условия первого уровня:
Тип угроз 1: специальные категории ПД, биометрические ПД, иные категории ПД.
Тип угроз 2: специальные категории ПД больше 100 000 субъектов ПД, не являющихся сотрудниками оператора.
Условия второго уровня:
Тип угроз 1: общедоступные ПД
Тип угроз 2: специальные категории ПД сотрудников оператора, специальные категории ПД меньше 100 000 субъектов, биометрические ПД, общедоступные ПД больше 100 000 субъектов, иные категории ПД больше 100 000 субъектов
Тип угроз 3: специальные категории ПД больше 100 000 субъектов.
Условия третьего уровня:
Тип угроз 2: общедоступные ПД сотрудников оператора, общедоступные ПД меньше 100 000 субъектов, иные категории ПД сотрудников оператора, иные категории ПД меньше 100 000 субъектов
Тип угроз 3: специальные категории ПД сотрудников оператора, специальные категории ПД меньше 100 000 субъектов, биометрические ПД, иные категории ПД больше 100 000 субъектов.
Условия четвертого уровня:
Тип угроз 3:
1) общедоступные ПД
2) иные категории ПД сотрудников оператора или иные категории ПД меньше 100 000 субъектов ПД, не являющихся сотрудниками оператора.
Меры по обеспечению безопасности:
1) идентификация и аутентификация субъектов доступа и объектов доступа
2) управление доступом субъектов доступа к объектам доступа
3) ограничение программной среды
4) защита машинных носителей информации, на которых хранятся и(или) обрабатываются ПД
5) регистрация событий безопасности
6) антивирусная защита
7) обнаружение и предотвращение вторжений
8) контроль (анализ) защищенности ПД
9) защита средств виртуализации
10) защита технических средств.
В случае определения в соответсвии с требованиями к защите персональных при их обработке в информационных системах персональных данных в качестве актуальных угроз безопасности персональных данных 1 и 2 типов дополнительно к мерам по обеспечению безопасности ПД могут применяться следующие меры:
1) проверка системного и(или) прикладного ПО, включая программный код, на отсутствие недекларированных возможностей
2) тестирование И. На проникновения
3) использование в ИС системного и(или) прикладного ПО, разработанного с использованием методов защищенного программирования.
При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:
а) для обеспечения 1 и 2 уровней защищенности персональных данных применяются: средства вычислительной техники не ниже 5 класса; системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса; межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно- телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
б) для обеспечения 3 уровня защищенности персональных данных применяются: средства вычислительной техники не ниже 5 класса; системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса защиты в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно- телекоммуникационными сетями международного информационного обмена; межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
в) для обеспечения 4 уровня защищенности персональных данных применяются: . средства вычислительной техники не ниже 6 класса; 7 системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса; межсетевые экраны 5 класса. Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
По Приказу ФСТЭК Росии от 18.02.2013 номер 21 к государственным ИС:
В случае обработки в информационной системе информации, содержащей персональные данные, реализуемые в соответствии с пунктами 21 и 22 настоящих Требований меры защиты информации: для информационной системы 1 класса защищенности обеспечивают 1, 2, 3 и 4 уровни защищенности персональных данных1;
для информационной системы 2 класса защищенности обеспечивают 2, 3 и 4 уровни защищенности персональных данных* ; для информационной системы 3 класса защищенности обеспечивают 3 и 4 уровни защищенности персональных данных;
для информационной системы 4 класса защищенности, обеспечивают 4 уровень защищенности персональных данных.
