Поддержка
Продукция
Загрузить
Главная страница / Поддержка / Документация / Правовые документы / Почему необходимо использовать сертифицированную по требованиям безопасности операционную систему? (Нормативные документы)

Почему необходимо использовать сертифицированную по требованиям безопасности операционную систему? (Нормативные документы)

Основная цель применения сертифицированной операционной системы – повышение уровня защищенности информации, защита которой требуется Российским законодательством.

Доктрина информационной безопасности Российской Федерации

"…Основными угрозами информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются: …использование несертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты информации и контроля их эффективности. Основными организационно-техническими мероприятиями по защите информации в общегосударственных информационных и телекоммуникационных системах являются: …сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи; создание и применение информационных и автоматизированных систем управления в защищенном исполнении.
В соответствии с требованиями законодательства Российской Федерации применение сертифицированной операционной системы Microsoft® Windows® XР Professional на клиентских рабочих местах в автоматизированных системах, обрабатывающих конфиденциальную информацию является необходимым условием.

Федеральный закон от 20 февраля 1995 г. №24-ФЗ "Об информации, информатизации и защите информации"

Статья 19. Сертификация информационных систем, технологий, средств их обеспечения и лицензирование деятельности по формированию и использованию информационных ресурсов
  1. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации….
  2. Информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации.
Обработка конфиденциальной информации на рабочих местах с установленной операционной системой Microsoft® Windows® XР Professional допускается после оформления аттестата соответствия на объект информатизации.
Порядок проведения работ и основные обязательные настройки системы безопасности операционной системы приводятся в поставляемом документе "Операционная система Microsoft® Windows® XР Professional. Руководство по безопасной настройке и контролю сертифицированной версии".
Кроме того, в комплект поставки может быть включена "Программа контроля сертифицированной версии ОС Microsoft® Windows® XР Professional", которая обеспечивает проведение автоматического контроля сертифицированной версии и настроек системы безопасности установленной операционной системы, а также автоматическое оформление аттестата соответствия на рабочее место.
Нарушение правил обработки конфиденциальной информации влечет за собой административную ответственность.

Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. №195-ФЗ

Статья 13.12. Нарушение правил защиты информации

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от десяти до двадцати минимальных размеров оплаты труда; на юридических лиц – от ста до двухсот минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой.

Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

Постановление № 781 от 17/11/2007

  1. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
    Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
  2. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
    Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.
  3. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.
  4. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

С полным перечнем организационно- распорядительных документов по технической защите информации и их содержанием можно ознакомится на официальном сайте ФСТЭК России