19.02.2015

Кем определяются уровни/классы защищенности в приказах 390/120/190/221 Минкомсвязи?

Кто смотрел мой недавний слайдкаст про требований по защите информационных систем госорганов, отличных от 17-го приказа ФСТЭК, могли обратить внимание, что в некоторых документах есть не до конца понятные пункты.

В частности, в п.9 приказа Минкомсвязи от 09.12.2013 №390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» говорится о том, что требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы.

Аналогичное требование установлено в п.3 приказа Минкомсвязи от 03.05.2014 №120 «Об утверждении Требований, обеспечивающих технологическую совместимость информационных систем организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме с указанной инфраструктурой, к каналу связи и используемым для его защиты средствам криптографической защиты информации, а также особенностей использования стандартов и протоколов при обмене данными в электронной форме между информационными системами указанных организаций и инфраструктурой». 390-й приказ уже отменили, но 120-й продолжает действовать.

В п.66 приказа Минкомсвязи от 27.12.2010 №190 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия» говорится о том, что подсистема информационной безопасности каждой информационной системы, подключаемой к системе взаимодействия, должна обеспечивать установленные законодательством Российской Федерации уровни защищенности информации, обрабатываемой в этой системе.

О классах защищенности говорится и в п.22 приказа Минкомсвязи от 02.09.2011 №221 «Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения».

Я сделал запрос в Минкомсвязь и в понедельник получил ответ. Вполне закономерно Минкомсвязь отослала всех к приказу №17 ФСТЭК России.