С 15 ноября 2023 года вступили в силу новые требования РФ:
Федеральный закон № 148-ФЗ от 28.05.2022 г. и № 252-ФЗ от 13.06.2023 г. , обязывающие туроператоров передавать данные о проданных зарубежных туристических путевках в систему «Электронная путёвка» (ГИС ЭП). Это включает информацию о туристах, заключенных договорах и их условиях.
С 1 сентября 2024 года аналогичные обязательства по передаче данных в ГИС ЭП будут распространяться на операторов внутреннего и въездного туризма. Минэкономразвития России 4 апреля 2024 года (Исх. NoД08и-10233) совместно со ФСТЭК утвердило требования к защите информации автоматизированных рабочих мест и информационных (автоматизированных) систем внешних пользователей (туроператоров) , подключаемых к государственной информационной системе «Электронная путевка» (аттестация ГИС ЭП).
Все туроператоры должны пройти аттестацию своих систем до 1 ноября 2024 года, иначе они будут отключены!
Важно осознавать, что процесс аттестации занимает не один день и представляет собой комплекс мероприятий, включающий:
- разработку требований;
- проектирование системы защиты;
- закупку и внедрение средств защиты;
- проведение аттестационных испытаний.
Компьютеры и ноутбуки, подключенные к ЕИС «Электронная путёвка», должны пройти аттестацию по требованиям информационной безопасности, установленным лицензированными органами ФСТЭК России и ФСБ России.
Для выполнения требований необходимо:
- зарегистрироваться в ГИС ЭП;
- установить и настроить на компьютере (АРМ) необходимое ПО для обеспечения защиты информации в соответствии с установленными требованиями;
- провести аттестацию рабочих мест на соответствие требованиям информационной безопасности, предъявляемым ГИС ЭП.
Информационная система или АРМ, подключенные к ГИС ЭП, должны обладать аттестатом, подтверждающий ее соответствие требованиям безопасности информации для государственных информационных систем третьего класса защищенности, а также требованиям безопасности информации для информационных систем персональных данных 3 уровня защищенности в соответствии с требованиями следующих нормативных актов:
- приказ ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении требований к защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
- постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Для подтверждения выполнения вышеуказанных требований необходимо направить Оператору ГИС ЭП следующие документы:
- технический паспорт информационной системы;
- действующий аттестат соответствия требованиям информационной безопасности;
- акты установки и настройки средств защиты информации.
По запросу эксплуатирующей ГИС «Электронная путевка» могут быть предоставлены иные сведения, подтверждающие соблюдение указанных условий. При переоформлении аттестата необходимо в течение 5 дней отправить Оператору ГИС ЭП скан-копию аттестата.
Приложением №2, к указанным выше требованиям, приведен перечень документации, необходимой для аттестации ГИС ЭП (Электронная путевка).
Согласно п. 12. постановления Правительства РФ №313 от 16.04.2012, установка и настройка средств криптографической защиты (СКЗИ), является лицензируемым видом деятельности, если вы осуществляете ее силами сторонней организацией, то она должна обладать лицензией ФСБ России на осуществление данного вида деятельности. Согласно пункту 4 постановления Правительства Российской Федерации № 79 от 3 февраля 2012 года, аттестация рабочих мест является лицензируемым видом деятельности. Её может проводить только организация, имеющая лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на деятельность по технической защите конфиденциальной информации.
Интернет-магазин Cryptostore.ru изучив требования, рекомендует следующий комплект ПО, необходимый для обеспечения информационной безопасности при взаимодействии ИС/АРМ внешних пользователей с ГИС «Электронная путевка»:
- средство защиты от НСД, средство обнаружения вторжений, средства межсетевого экранирования: Secret Net Studio;
- средство антивирусной защиты: антивирус, сертифицированный ФСБ (ФСТЭК) Kaspersky Endpoint Security;
В требованиях к ИС (п. 65) к СКЗИ при доступе к ресурсам ЕИС ЭП должно соответствовать требованиям ГОСТ 28147-89, ГОСТ Р 34.11.-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012, ГОСТ Р 34.11.2012.
Класс применяемых средств криптографической защиты в ИС при подключении к ГИС «Электронная путевка» в соответствии с требованиями ФСБ России не ниже КС3, что накладывает ряд ограничений по ОС и среде использования, указаны в Формуляре к СКЗИ.
- Для обеспечения ограниченного доступа потребуется средство доверенной загрузки типа Соболь, Аккорд-АМДЗ и другие.
Обращаем ваше внимание, что выполнить условия настоящих требований возможно и другим комплектом ПО, этот перечень приведен нами в качестве примера.