Veeam Backup & Replication v8

Сертифицированная ФСТЭК версия продукта

Требования законодательства РФ о защите данных и информации

В данном разделе представлены Требования законодательства о защите информации, содержащейся в ГИС, ИС АСУ ТП, а также требования о защите персональных данных, содержащихся в ИСПДн.
  • Требования ГИС
  • Требования ИСПДн
  • Требования ИС АСУ ТП

Государственные информационные системы (ГИС)

Требования о защите информации, содержащейся в ГИС, определяются Приказом ФСТЭК России от 11.02.2013г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

“Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании»” - статья 11 документа.

МераМеры защиты информации в информационных системахКлассы защищенности ГИС, где требуется применение сертифицированного
программного обеспечения
К3К2К1
ЗСВ.8Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктурыfstec iconfstec icon
НДВ4Ст. 26 “применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.”fstec iconfstec icon

Класс защищенности информационной системы определяется в соответствии с таблицей:

Степень возможного ущерба от нарушения конфиденциальности, или целостности или доступности информацииУровень значимости информацииКлассы защищенности, в которых требуется применение сертифицированного программного обеспечения
Федеральный
масштаб ГИС
Региональный
масштаб ГИС
Объектовый
масштаб ГИС
ВысокаяУЗ 1fstec icon
К1
fstec icon
К1
fstec icon
К1
СредняяУЗ 2fstec icon
К1
fstec icon
К2
fstec icon
К2
НизкаяУЗ 3fstec icon
К2

К3

К3
  • Высокая степень ущерба – если возможны:
    • существенные негативные последствия в нетехнических областях и (или)
    • информационная система и (или) оператор не могут выполнять возложенные на них функции.
  • Средняя степень ущерба – если возможны:
    • умеренные негативные последствия в нетехнических областях и (или) информационная система и (или)
    • оператор не могут выполнять хотя бы одну из возложенных на них функций.
  • Низкая степень ущерба – если возможны:
    • незначительные негативные последствия в нетехнических областях и (или)
    • информационная система и (или) оператор могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

Информационные системы персональных данных (ИСПДн)

Требования о защите персональных данных, содержащихся в ИСПДн, определяются Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

  • Для государственных операторов персональных данных оценка соответствия всегда проводиться в форме обязательной сертификации с последующей аттестацией. “Для обеспечения безопасности персональных данных при их обработке в государственных информационных системах в дополнение к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, необходимо руководствоваться требованиями (в том числе в части определения уровня защищенности персональных данных), установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119. При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.” (Информационное сообщение ФСТЭК от 15 июля 2013 г. N 240/22/2637).
  • Для коммерческих операторов персональных данных оценка соответствия может быть выполнена как в форме сертификации, так и в иной форме по выбору оператора, но следует заметить, что в ряде случаев, выбор сертифицированного продукта позволяет снизить затраты на оценку информационной системы, так как сертификат на продукт автоматически удостоверяет, что оценка соответствия уже проведена производителем.

Требования на использование средств защиты информации, прошедших оценку соответствия в зависимости от уровня защищенности ИСПДн:

Условное обозначение и номер мерыСодержание мер по обеспечению безопасности персональных данныхУровни защищенности ИСПДн, в которых требуется применение средств защиты информации, прошедших оценку соответствия
4321
ЗСВ.8Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктурыfstec iconfstec icon
НДВ4Ст. 12. Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей fstec icon
*если
есть
угрозы
2 типа
fstec iconfstec icon

Согласно постановлению правительства №1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”, выделяют следующие виды типов персональных данных:

  • ИСПДн-С — ИСПДн, обрабатывающая специальные категории персональные данные
  • ИСПДн-Б — ИСПДн, обрабатывающая биометрические персональные данные
  • ИСПДн-О — ИСПДн, обрабатывающая общедоступные персональные данные
  • ИСПДн-И — ИСПДн, обрабатывающая иные категории персональных данных

В ИСПДн коммерческих операторов персональных данных применение сертифицированного средства резервного копирования требуется в следующих случаях:

Тип ИСПДнСотрудники?Количество
субъектов
Тип актуальных угроз
1 тип
(угроза НДВ в системном ПО)
2 тип (угроза НДВ в прикладном ПО)3 тип(нет угрозы НДВ)
ИСПДн-ИНе сотрудники> 100.000УЗ1
fstec icon
УЗ2
fstec icon
УЗ3
< 100.000УЗ1
fstec icon
УЗ3
fstec icon
УЗ4
СотрудникилюбоеУЗ1
fstec icon
УЗ3
fstec icon
УЗ4
ИСПДн-СНе сотрудники> 100.000УЗ1
fstec icon
УЗ1
fstec icon
УЗ2
fstec icon
< 100.000УЗ1
fstec icon
УЗ2
fstec icon
УЗ3
СотрудникилюбоеУЗ1
fstec icon
УЗ2
fstec icon
УЗ3
ИСПДн-БЛюбоелюбоеУЗ1
fstec icon
УЗ2
fstec icon
УЗ3
ИСПДн-ОНе сотрудники> 100.000УЗ2
fstec icon
УЗ2
fstec icon
УЗ4
< 100.000УЗ2
fstec icon
УЗ3
fstec icon
УЗ4
СотрудникилюбоеУЗ3
fstec icon
УЗ3
fstec icon
УЗ4

АСУ ТП на критически важных объектах

Требования о защите информации, содержащейся в ИС АСУ ТП, определяются Приказом ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

“В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании” (ст. 11). Использование сертифицированных средств защиты позволяет снизить затраты на выполнение этого пункта, так как сертификат удостоверяет, что продукт уже прошел проверку соответствия. Применение продуктов, не имеющих сертификата, также возможно, но требует дополнительных затрат от покупателя на проведение аттестации или иных мероприятий по оценке соответствия, предусмотренных законодательством о техническом регулировании.

Оценка возможного ущерба: см. Постановление Правительства Российской Федерации от 21 мая 2007 г. N 304 «О классификации чрезвычайных ситуаций природного и техногенного характера»

Класс защищенности АСУ ТП и необходимость применения средств резервного копирования, прошедших оценку соответствия, определяется в соответствии с таблицей:

Тип ЧС, который может возникнуть в результате нарушения работы АСУ ТППоказатели возможного ущерба от нарушения работы АСУ ТПСтепень возможного ущербаУровень значимости информацииКласс защищенности АСУ ТП, в которых требуется применение средств защиты информации, прошедших оценку соответствия
ОхватКоличество людей, получивших ущерб здоровьюРазмер ущерба руб.
Локального характераОбъектдо 10до 100 тыс.низкаяУЗ 3К3
fstec icon
Муниципального характераНаселенный пунктдо 50до 5 млн.
Межмуниципального характераДва и более населенных пунктадо 50до 5 млн.средяяУЗ 2К2
fstec icon
Регионального характераСубъект РФ50-5005 млн. - 500 млн.
Межрегионального характераДва и более субъекта РФ50-5005 млн. - 500 млн.высокаяУЗ 1К1
fstec icon
Федерального характераРФболее 500более 500 млн.

Состав мер защиты информации автоматизированных систем управления и их базовые наборы для соответствующего класса защищенности (в отношении обеспечения резервного копирования информации), где требуется применение средств, прошедших оценку соответствия:

Номер мерыМеры защиты информации в автоматизированных системах управленияКлассы защищенности, в которых требуется применение продуктов, прошедших оценку соответствия
К3К2К1
ЗСВ.8Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктурыfstec icon
НДВ4Ст. 24. При применении сертифицированных средств защиты информации (как способа выполнения требования на наличие оценки соответствия) fstec iconfstec icon