Приказ ФСТЭК России от 02.06.2020 № 76

Приказ ФСТЭК России от 02.06.2020 № 76 "О требованиях по безопасности информации"

Ключевые выдержки из приказа:
- Настоящие требования являются обязательными в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа. Применяются к программным и программно-техническим средствам технической защиты информации, средствам обеспечения безопасности информационных технологий, включая защищенные средства обработки информации. Требования устанавливают уровни, характеризующие безопасность применения средств для: обработки и защиты информации, содержащей сведения, которые составляют государственную тайну, иной информации ограниченного доступа, а также для обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.
- Для дифференциации требований по безопасности информации к средствам устанавливается шесть уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.
- Устанавливается следующее соответствие классов средств защиты информации и средств вычислительной техники уровням доверия:

средства защиты информации 6 класса должны соответствовать 6 уровню доверия;
средства защиты информации 5 класса должны соответствовать 5 уровню доверия;
средства защиты информации 4 класса и средства вычислительной техники 5 класса должны соответствовать 4 уровню доверия.

ВАЖНО: Абзац пятый пункта 12.3 настоящего нормативного документа, вступает в силу с 1 января 2028 г.

Источник

Срок действия: не ограничен

Ответственность:

Административная ответственность по ст. 13.12.1 КоАП РФ
Уголовная ответственность по ст. 274.1 УК РФ, если был причинен вред КИИ

В части персональных данных:

Статья 19.7 КоАП РФ: Непредставление или несвоевременное представление в уполномоченный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление таких сведений (информации) в неполном объеме или в искаженном виде
Статья 5.39 КоАП РФ: Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации
Часть 1 и 1.1 ст. 13.1 КоАП РФ: Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора персональных данных
Часть 2 и 2.1 ст. 13.11 КоАП РФ: Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, либо обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в такое согласие
Часть 3 ст. 13.11 КоАП РФ: Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных
Часть 4 ст. 13.11 КоАП РФ: Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
Часть 5 и 5.1 ст. 13.11 КоАП РФ: Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
Часть 6 ст. 13.11 КоАП РФ: Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния
Часть 7 ст. 13.11 КоАП РФ: Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных
Часть 8 и 9 ст. 13.11 КоАП РФ: Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ
Статья 137 УК РФ: Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации
Статья 140 УК РФ: Неправомерный отказ должностного лица в предоставлении собранных документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан
Статья 272 УК РФ: Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации

Ответственные лица

Руководители государственных органов (организаций)
Зам. руководителя по ИБ

Связанные документы:

Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 "О сертификации средств защиты информации"
Приказ ФСТЭК России от 3 апреля 2018 г. № 55 "Об утверждении Положения о системе сертификации средств защиты информации"
Федеральный закон от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Приказ ФСТЭК России от 11 февраля 2013 г. № 17
Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119
Приказ ФСБ России и ФСТЭК России от 31 августа 2010 г. N 416/489

ИТ-решения, которые закрывают требования нормативных документов

PT Application Inspector превью Инновационный продукт, позволяющий обнаружить уязвимости как в исходном коде, так и в готовой программе.
PT Sandbox превью Передовая песочница, которая позволяет защитить компанию от целевых и массовых атак с применением современного вредоносного ПО.
PT Application Firewall превью Обеспечивает непрерывную защиту приложений, пользователей и инфраструктуры и помогает соответствовать стандартам безопасности.
PT Industrial Security Incident Manager превью Программно-аппаратный комплекс глубокого анализа технологического трафика обеспечивает поиск следов нарушений информационной безопасности в сетях АСУ ТП, помогает на ранней стадии выявлять кибератаки, активность вредоносного ПО, неавторизованные действия персонала и обеспечивает соответствие требованиям законодательства.
PT Network Attack Discovery превью Система глубокого анализа сетевого трафика для выявления атак на периметре и внутри сети.
MaxPatrol 8 превью Система предназначена для обеспечения контроля защищенности и соответствия стандартам безопасности информационных систем.
MaxPatrol SIEM превью Дает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности.
MaxPatrol VM превью Решение позволяет выстроить полноценный процесс vulnerability management и контролировать его как в штатном режиме, так и при экстренных проверках.
PT MaxPatrol EDR превью Поможет оперативно выявлять сложные угрозы и целевые атаки, обеспечит уверенное реагирование и автоматизацию рутинных операций с учетом особенностей инфраструктуры и процессов построения ИБ в вашей компании.
PT XSpider превью Высокоэффективный сканер безопасности сетей
PT MultiScanner превью Cистема выявляет вирусные угрозы, блокирует их распространение в инфраструктуре и обнаруживает скрытое присутствие зловредов
Postgres Pro Enterprise Certified превью Сертифицированная версия универсальной расширяемой системы управления базами данных, идеально подходящая для функционирования в условиях высокой нагрузки.
vGate превью Средство защиты компонентов виртуальной платформы.
Континент 4 превью Универсальное устройство корпоративного уровня для всесторонней защиты сети (UTM) с поддержкой алгоритмов ГОСТ.
Континент 3 превью Централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ.
Континент ZTN превью Клиентское приложение для защищенного доступа в корпоративную сеть с удаленных персональных компьютеров и смартфонов сотрудников.
Континент TLS превью Система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ.
Secret Net LSP превью Сертифицированное средство защиты от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих под управлением дистрибутивов Linux.
Secret Net Studio for Linux превью Сертифицированное средство защиты от несанкционированного доступа к информационным ресурсам
Secret Net Studio превью Защита данных и инфраструктуры серверов и рабочих станций.
ViPNet Administrator 4 превью Программный комплекс предназначен для настройки и управления виртуальной частной сетью.
ViPNet Client 4/4U превью Решение, разработанное специально для защиты предприятий от сетевых атак с помощью фильтрации трафика.
ViPNet Coordinator IG превью Индустриальный шлюз безопасности и межсетевой экран для защиты промышленных сетей.
ViPNet EndPoint Protection превью Система комплексной защиты рабочих станций и серверов, предназначенная для предотвращения «файловых», «бесфайловых» и сетевых атак, обнаружения вредоносных действий и реакции на эти действия.
ViPNet IDS 3 превью Сетевой сенсор обнаружения сетевых атак и вредоносного программного обеспечения в файлах, передаваемых в сетевом трафике, и предназначенный для интеграции в компьютерные сети с целью повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования.
ViPNet IDS HS превью Система обнаружения вторжений, осуществляющая мониторинг и обработку событий внутри хоста.
ViPNet SafePoint превью Программное обеспечение, нацеленное на применение разграничительных.
ViPNet Coordinator HW 4 превью Линейка шлюзов безопасности, нацеленных на построение виртуальной сети и обеспечения защиты при передаче информации.
ViPNet Coordinator VA 4 превью Виртуальный шлюз безопасности для надежной защиты каналов связи.
ViPNet xFirewall 5 превью Шлюз безопасности — межсетевой экран следующего поколения, который устанавливается на границе сети, обеспечивает фильтрацию трафика на всех уровнях, позволяет создать гранулированную политику безопасности на основе учетных записей пользователей и списка приложений.
Numa vServer превью Доверенная система серверной виртуализации, разработанная компанией «НумаТех» с учетом требований по безопасности информации. Может использоваться как для виртуализации отдельных серверных ролей, так и для создания защищенных частных, публичных и гибридных облаков.
Numa Edge превью Программно-технический универсальный шлюз безопасности (ИТ.МЭ.А4/Б4.ПЗ), обеспечивающий статическую и динамическую маршрутизацию, межсетевое экранирование, проксирование веб-трафика, обнаружение вторжений и криптографическую защиту каналов передачи данных (ФСБ КС1).