Новые правила защиты информации от ФСТЭК
ФСТЭК утвержден новый методический документ "Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах".
Документ распространяется на всех, чья деятельность соприкасается с информационными системами.
Документ выделяет 19 видов мероприятий по защите информации и 17 групп мер защиты информации.
Документ объемный, отдельно выделим требования к защите информации при использовании ИИ:
1) Необходимо оценить угрозы безопасности информации
2) Разработать техническое задание, содержащее требования к реализации мер защиты информации в системе ИИ, по результатам оценки угроз
3) При разработке системы ИИ должны быть защищены следующие объекты:
- объекты информационной структуры
- ПО, обеспечивающее разработку ИИ
- ПО, обеспечивающее разработку API
- входная модель ИИ для обучения
- наборы обучающих данных
- выходная модель
- ПО, обеспечивающее реализацию технологий ИИ
4) Меры защиты: класс защищенности не ниже класса защищенности информационной системы оператора.
5) Если в системе ИИ обрабатываются ПД граждан РФ, то необходимо:
- обеспечить мероприятия по безопасной разработке ПО
- провести сертификацию ПО по требованиям ФСТЭК
Автор: Мария Верховская
Документ распространяется на всех, чья деятельность соприкасается с информационными системами.
Документ выделяет 19 видов мероприятий по защите информации и 17 групп мер защиты информации.
Документ объемный, отдельно выделим требования к защите информации при использовании ИИ:
1) Необходимо оценить угрозы безопасности информации
2) Разработать техническое задание, содержащее требования к реализации мер защиты информации в системе ИИ, по результатам оценки угроз
3) При разработке системы ИИ должны быть защищены следующие объекты:
- объекты информационной структуры
- ПО, обеспечивающее разработку ИИ
- ПО, обеспечивающее разработку API
- входная модель ИИ для обучения
- наборы обучающих данных
- выходная модель
- ПО, обеспечивающее реализацию технологий ИИ
4) Меры защиты: класс защищенности не ниже класса защищенности информационной системы оператора.
5) Если в системе ИИ обрабатываются ПД граждан РФ, то необходимо:
- обеспечить мероприятия по безопасной разработке ПО
- провести сертификацию ПО по требованиям ФСТЭК
Автор: Мария Верховская
