Приказ Федеральной службы безопасности Российской Федерации от 24.10.2022 № 524
р.
р.
Приказ Федеральной службы безопасности Российской Федерации от 24.10.2022 № 524 "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств"
Ключевые выдержки из Приказа Федеральной службы безопасности Российской Федерации от 24.10.2022 № 524:
1) Документ определяет требования о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств:
Для обеспечения защиты информации, содержащейся в ГИС, должны использоваться только СКЗИ, сертифицированные ФСБ России.
Средства СКЗИ должны использоваться соразмерно классу защищаемой информации.
Обработка защищаемой информации в ГИС при использовании для ее защиты СКЗИ совместно с иными техническими средствами допускается только при наличии положительного заключения ФСБ России.
В помещении, где расположены элементы СКЗИ, должен обеспечиваться режим, препятствующий возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в такие помещения.
2) Приказ определяет правила классификации информации и средств СКЗИ.
Класс СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, зависит от уровня значимости обрабатываемой в ГИС информации и масштаба ГИС.
Уровень значимости информации, содержащейся в ГИС, определяется степенью возможного ущерба для обладателя информации и (или) оператора от нарушения конфиденциальности, целостности или доступности информации.
Информация имеет высокий уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности.
Статья 19.7 КоАП РФ: Непредставление или несвоевременное представление в уполномоченный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление таких сведений (информации) в неполном объеме или в искаженном виде
Статья 5.39 КоАП РФ: Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации
Часть 1 и 1.1 ст. 13.1 КоАП РФ: Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора персональных данных
Часть 2 и 2.1 ст. 13.11 КоАП РФ: Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, либо обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в такое согласие
Часть 3 ст. 13.11 КоАП РФ: Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных
Часть 4 ст. 13.11 КоАП РФ: Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
Часть 5 и 5.1 ст. 13.11 КоАП РФ: Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
Часть 6 ст. 13.11 КоАП РФ: Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния
Часть 7 ст. 13.11 КоАП РФ: Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных
Часть 8 и 9 ст. 13.11 КоАП РФ: Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ
Статья 137 УК РФ: Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации
Статья 140 УК РФ: Неправомерный отказ должностного лица в предоставлении собранных документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан
Статья 272 УК РФ: Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации
Ответственные лица
Руководители государственных органов (организаций)
Зам. руководителя по ИБ
Связанные документы:
149-ФЗ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 г.
Приказ ФСБ РФ от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации
ИТ-решения, которые закрывают требования нормативных документов
Kaspersky Symphony XDRпревью Мощная платформа для многоуровневого обнаружения атак, мониторинга, расследования, проактивного поиска угроз и реагирования на сложные инциденты.
Kaspersky DDoS Protectionпревью Минимизирует влияние DDoS-атак, обеспечивая постоянную доступность всей инфраструктуры и важнейших онлайн-ресурсов.
Kaspersky Scan Engineпревью Комплексная защита веб-приложений, прокси-серверов, сетевых хранилищ данных и почтовых шлюзов.
Континент 3превью Централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ.
Континент АПпревью Клиентское приложение для защищенного доступа в корпоративную сеть с удаленных персональных компьютеров и смартфонов сотрудников.
Континент TLSпревью Система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ.
Jinn Serverпревью Система массовой проверки и формирования электронной подписи в юридически значимом электронном документообороте.
vGateпревью Средство защиты компонентов виртуальной платформы.
ViPNet Administrator 4превью Программный комплекс предназначен для настройки и управления виртуальной частной сетью.
ViPNet Client 4/4Uпревью Решение, разработанное специально для защиты предприятий от сетевых атак с помощью фильтрации трафика.
ViPNet Coordinator IGпревью Индустриальный шлюз безопасности и межсетевой экран для защиты промышленных сетей.
ViPNet Coordinator KBпревью Модельный ряд шлюзов безопасности ViPNet, удовлетворяющий требованиям к средствам криптографической защиты информации по классу KB.
ViPNet CSP 4превью Инструмент для надежной криптографической защиты информации.
ViPNet HSMпревью Высокопроизводительная программно-аппаратная криптографическая платформа в составе продуктовой линейки ViPNet PKI.
ViPNet PKI Clientпревью Универсальный программный комплекс, предназначенный для решения основных задач пользователя при работе с сервисами.
ViPNet PKI Serviceпревью Программно-аппаратный комплекс предназначенный для выполнения криптографических операций в прикладных сценариях информационных систем: генерации ключей, формирования и проверки электронной подписи (ЭП), шифрования данных.
ViPNet Terminal 4превью Решение позволяет организовать защищенный доступ к терминальному рабочему месту, которое представляет собой заданный для пользователя набор приложений.
ViPNet TLS Gatewayпревью Шлюз безопасности, обеспечивающий аутентификацию пользователей и создание защищенных соединений в соответствии с TLS-протоколом.
ViPNet Coordinator HW 4/5превью Линейка шлюзов безопасности, нацеленных на построение виртуальной сети и обеспечения защиты при передаче информации.