Приказ № 17

Приказ ФСТЭК России № 17 от 11 февраля 2013
«Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

«Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Кого касается

Обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы
Операторов государственных информационных систем

Когда применяется

При обработке информации ограниченного доступа (не содержащей гостайну) или общедоступной информации в ГИС

Самое главное

Предприятия, обрабатывающие информацию ограниченного доступа в ГИС, обязаны разработать и внедрить систему защиты информации, отвечающую перечисленным в документе требованиям
Информационная система должна быть аттестована по требованиям защиты информации организацией, у которой есть лицензия от ФСТЭК на деятельность по технической защите конфиденциальной информации

Если не выполнить

Нарушение требований влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Сокращения и термины, используемые в НПА

Государственные информационные системы (ГИС) – федеральные информационные системы и региональные информационные системы, созданные на основании, соответственно, федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.

Муниципальные информационные системы (МИС), – системы, созданные на основании решения органа местного самоуправления.

Модель угроз

В настоящем документе отмечается, что модель угроз «должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации».

Краткое изложение

Требования разработаны в соответствии с ФЗ от 27.07.2006 г. N149-ФЗ «Об информации, информационных технологиях и о защите информации».

Требования являются обязательными для:

Государственных информационных систем (ГИС);
Муниципальных информационных систем (МИС).

Прим. По решению обладателя информации настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах.

При обработке в ГИС информации, содержащей персональные данные, настоящие Требования применяются наряду с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119, Приказом ФСТЭК России от 18.02.2013 N21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Защита информации, содержащейся в государственной информационной системе, обеспечивается путем выполнения обладателем информации и (или) оператором требований к организации защиты информации и требований к мерам защиты информации.

Объектами защиты являются:

информация, содержащаяся в информационной системе;
технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации);
общесистемное, прикладное, специальное программное обеспечение;
информационные технологии;
средства защиты информации.

Применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.

Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:

формирование требований к защите информации, содержащейся в информационной системе;
разработка системы защиты информации информационной системы;
внедрение системы защиты информации информационной системы;
аттестация информационной системы по требованиям защиты информации и ввод ее в действие.

Подробно про аттестацию объектов информатизации: Приказ ФСТЭК России от 29 апреля 2021 г. N77 «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну»:

обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Для выбора мер защиты информации для соответствующего класса защищенности информационной системы применяются методические документы ФСТЭК России.

Устанавливаются три класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс — третий, самый высокий — первый.

Класс защищенности информационной системы определяется в соответствии с приложением N1 Приказа 17 ФСТЭК.

Полная версия документа

Оставьте заявку на бесплатную консультацию бесплатную консультацию

Я даю компании АО «Лаборатория Касперского» прямое согласие на сбор и обработку моих данных согласно политике конфиденциальности “Лаборатории Касперского”