УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг по ИБ и ИТ
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Комплексные системы безопасности (КСБ)
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Efros Defence Operations
    • Защищенная система управления базами данных Jatoba
    • Efros Config Inspector
    • Система диспетчеризации ЦОД DATCHECK
    • UDV ePlat4m КИИ
    • UDV DATAPK Industrial Kit
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
Продукты и услуги
  • Центр кибербезопасности
  • УЦСБ SOC (центр мониторинга ИБ)
  • DevSecOps-решение Apsafe
  • Импортозамещение
  • Проектирование АСУ
  • 187-ФЗ
  • Консалтинг ИБ
  • Сервисная поддержка
  • ИТ-услуги и продукты
  • Собственные продукты и разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Telegram
    • YouTube
    • Хабр
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Центр кибербезопасности
    • УЦСБ SOC (центр мониторинга ИБ)
    • DevSecOps-решение Apsafe
    • Импортозамещение
    • Проектирование АСУ
    • 187-ФЗ
    • Консалтинг ИБ
    • Сервисная поддержка
    • ИТ-услуги и продукты
    • Собственные продукты и разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Центр кибербезопасности
      • УЦСБ SOC (центр мониторинга ИБ)
      • DevSecOps-решение Apsafe
      • Импортозамещение
      • Проектирование АСУ
      • 187-ФЗ
      • Консалтинг ИБ
      • Сервисная поддержка
      • ИТ-услуги и продукты
      • Собственные продукты и разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг по ИБ и ИТ
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Комплексные системы безопасности (КСБ)
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Efros Defence Operations
            • Защищенная система управления базами данных Jatoba
            • Efros Config Inspector
            • Система диспетчеризации ЦОД DATCHECK
            • UDV ePlat4m КИИ
            • UDV DATAPK Industrial Kit
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Центр кибербезопасности
          • УЦСБ SOC (центр мониторинга ИБ)
          • DevSecOps-решение Apsafe
          • Импортозамещение
          • Проектирование АСУ
          • 187-ФЗ
          • Консалтинг ИБ
          • Сервисная поддержка
          • ИТ-услуги и продукты
          • Собственные продукты и разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Telegram
        • YouTube
        • Хабр
        • Главная
        • Пресс-центр
        • Новости
        • Обзор изменений в законодательстве за май 2019

        Обзор изменений в законодательстве за май 2019

        1 июня 2019
        Новости

        Автор: Анастасия Заведенская, помощник аналитика

        В обзоре изменений законодательства в области информационной безопасности за май 2019 года рассмотрим новый приказ ФСБ России о средствах ГосСОПКА, результаты общественных обсуждений о внесении изменений в КоАП РФ, в части установления ответственности за нарушение законодательства о безопасности КИИ, а также поговорим о том, как обрабатывают персональные данные в Минздраве РФ и обеспечивают защиту информации в кредитных и некредитных организациях.

        Требования к средствам ГосСОПКА и штрафы за невыполнение требований по обеспечению безопасности объектов КИИ

        31 мая опубликован Приказ ФСБ России от 06.05.2019 № 196 «Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» (далее – Приказ). Приказ вступил в силу 11 июня 2019 г.

        Типология средств ГосСОПКА, предложенная в Приказе, представлена на рисунке ниже.


        При этом экспертами отмечается, что Приказ касается только средств ГосСОПКА, его требования не распространяются на другие программные и (или) технические средства, используемые для обеспечения безопасности объектов КИИ.

        По результатам общественных обсуждения Проекта Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов критической информационной инфраструктуры)» из 25 предложений участников разработчиком было учтено только два.

        Внесенные корректировки незначительны и направлены на исключение пересечения различных норм права. К примеру, из статьи о нарушении порядка либо сроков предоставления во ФСТЭК России сведений о результатах категорирования исключено «нарушение порядка». Таким образом статья направлена только на нарушение сроков представления или непредставление сведений о результатах категорирования. Что касается нарушения порядка представления сведений, то он закреплен в другой статье, которая также предлагается рассматриваемым Проектом Федерального закона.

        Суммы административных штрафов не подверглись корректировке и представлены на рисунке ниже.


        Обеспечение информационной безопасности кредитными и некредитными организациями

        Для дальнейшего понимания сферы действия рассматриваемых положений Центрального банка России, ниже приведено разделение организаций на кредитные и некредитные.

        Положение ЦБ РФ № 683-П от 17 апреля 2019 г. «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».

        Положение официально опубликовано 21 мая 2019 г. и вступило в силу с 1 июня 2019 г., за исключением некоторых пунктов, оцениваемых экспертами как наиболее значимые. Рассмотрим их более подробно:

        Пункт 3.1, вступает в силу с 1 января 2021 г. Кредитные организации должны обеспечить реализацию уровней защиты информации, определенных ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – ГОСТ Р 57580.1-2017). Значимые кредитные организации должны реализовать усиленный уровень защиты (уровень 1), а остальные – стандартный (уровень 2).

        Таким образом, данный пункт, по сути, возлагает на кредитные организации обязанности применять организационные и технические меры, перечисленные в ГОСТ Р 57580.1-2017. Данный ГОСТ устанавливает три уровня защиты информации (см. таблицу ниже). По сути, использован подход аналогичный приказам ФСТЭК России № 17/21/31/239, когда от уровня защиты информации зависит базовый состав мер. Уровень определяется в зависимости от размеров и направления деятельности организации.

        Пункт 9, вступает в силу с 1 января 2021 г. Должна осуществляться оценка соответствия уровню защиты с привлечением сторонней организации лицензиата не реже одного раза в два года согласно ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» (далее – ГОСТ Р 57580.2-2018). Кредитные организации должны обеспечить уровень соответствия не ниже третьего с 1 января 2021 г. и не ниже четвертого с 1 января 2023 г.

        Исходя из требований данного пункта, аудит информационной безопасности кредитной организации должен осуществляться по методике, изложенной в ГОСТ Р 57580.2-2018. По итогам проведенного по методике анализа, оценивается уровень зрелости процессов системы защиты информации:

        Таким образом, с 1 января 2021 г. кредитная организация обязана обеспечить реализацию организационных и технических мер в значительном количестве, а с 1 января 2023 г. в полном объеме и на постоянной основе, а также реализовать контроль и совершенствование процессов системы защиты информации.

        Подпункт 4.1 пункта 4, вступает в силу 1 января 2020 г. Программное обеспечение, используемое для осуществления банковских операций или для приема сообщений по сети Интернет, должно быть сертифицировано в системе сертификации ФСТЭК России или в отношении него проведен анализ уязвимостей в объеме, соответствующем оценочному уровню доверия не ниже ОУД4 (ГОСТ 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности»).

        Подпункт 4.2 пункта 4, вступает в силу 1 января 2020 г. Для проведения анализа уязвимостей в программном обеспечении должны быть привлечены лицензиаты на осуществление деятельности по технической защите конфиденциальной информации.

        Положение ЦБ РФ № 684-П от 17 апреля 2019г «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»[ЗАА1]  Зарегистрировано в Минюсте России 16 мая 2019 № 54634.

        Официально опубликовано 21 мая 2019 г. и вступило в силу с 1 июня 2019 г., за исключением некоторых пунктов, а именно:

        • Пункт 5 вступает в силу с 1 января 2021 г. Защита информации некредитных финансовых организаций должна осуществляться в соответствии с ГОСТ Р 57580.1-2017. Некредитные организации ежегодно должны определять применимый к ним уровень защиты в соответствие с требованиями, установленными Положением, согласно которым четко определено какие некредитные организации должны реализовать усиленный уровень защиты, а какие стандартный.
        • Согласно пункту 6, вступающему в силу с 1 января 2021 г. некредитные организации, реализующие усиленный и стандартный уровни защиты, должны обеспечить проведение оценки соответствия с соблюдением требований, установленных Положением.
        • Пункт 9 вступает в силу с 1 января 2020 г. Программное обеспечение, используемое для осуществления банковских операций или для приема сообщений по сети Интернет, некредитными организациями, реализующими усиленный и стандартный уровни защиты, должно быть сертифицировано в системе сертификации ФСТЭК России или в отношении него должен быть проведен анализ уязвимостей в объеме, соответствующем оценочному уровню доверия не ниже ОУД4 (ГОСТ 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности»).
        • Согласно абзацу первому пункта 8, вступающего в силу с 1 января 2022 и действующего по 30 июня 2023 г, некредитные организации, реализующие усиленный и стандартный уровни защиты, должны обеспечить уровень соответствия не ниже третьего уровня соответствия согласно ГОСТ Р 57580.2-2018.
        • Согласно абзацу второму пункта 8, вступающего в силу с 1 июля 2023г,  некредитные организации, реализующие усиленный и стандартный уровни защиты, должны обеспечить уровень соответствия не ниже четвертого уровня соответствия согласно ГОСТ Р 57580.2-2018.

        Политика Минздрава России, как оператора ПДн

        29 мая 2019 года официально опубликован приказ Минздрава России от 04.03.2019 г. № 110н «Об обработке персональных данных в Министерстве здравоохранения Российской Федерации». Приказ вступил в силу 9 июня 2019 г.

        Приказ утверждает:

        • правила обработки персональных данных (ПДн) в Минздраве России;
        • перечень должностей, ответственных за организацию обезличивания ПДн;
        • форму типового обязательства служащего, непосредственно осуществляющего обработку ПДн, в случае расторжения с ним служебного контракта прекратить обработку ПДн, ставших ему известными;
        • типовую форму согласия на обработку ПДн служащих Минздрав России и иных субъектов ПДн;
        • типовую форму разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн.

        Правила обработки ПДн определяют политику Минздрава России как оператора, осуществляющего обработку ПДн.

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Центр кибербезопасности
        УЦСБ SOC (центр мониторинга ИБ)
        DevSecOps-решение Apsafe
        Импортозамещение
        Проектирование АСУ
        187-ФЗ
        Консалтинг ИБ
        Сервисная поддержка
        ИТ-услуги и продукты
        Собственные продукты и разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Telegram
        • YouTube
        • Хабр
        Политика конфиденциальности
        © 2025 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы