12 подписчиков

Про грифа

10 октября 202510 окт 2025

7 мин

Про ДСП Пока есть времечко, решила немного разобраться, что за зверь и в чем ньюансы. Постановление Правительства РФ от 03.11.1994 N 1233 (ред. от 09.10.2024) "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности" - действует, но для только для ФОИВ, обязуя их руководителя определить порядок обращения с документацией ДСП. 1.5. Руководитель федерального органа исполнительной власти, уполномоченного органа управления использованием атомной энергии, уполномоченного органа по космической деятельности в пределах своей компетенции определяет: категории должностных лиц, уполномоченных относить служебную информацию к разряду ограниченного распространения; порядок передачи служебной информации ограниченного распространения другим органам и организациям; порядок снятия пометки "Для служебног

Оглавление

Самое важное в пункте 58: Подрядчиком должны быть приняты меры по защите информации ДСП, а какие меры -
определяет обладатель информации.

Про ДСП

Пока есть времечко, решила немного разобраться, что за зверь и в чем ньюансы.

Постановление Правительства РФ от 03.11.1994 N 1233 (ред. от 09.10.2024) "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности" - действует, но для только для ФОИВ, обязуя их руководителя определить порядок обращения с документацией ДСП.

1.5. Руководитель федерального органа исполнительной власти, уполномоченного органа управления использованием атомной энергии, уполномоченного органа по космической деятельности в пределах своей компетенции определяет: категории должностных лиц, уполномоченных относить служебную информацию к разряду ограниченного распространения;

порядок передачи служебной информации ограниченного распространения другим органам и организациям;

порядок снятия пометки "Для служебного пользования" с носителей информации ограниченного распространения;

организацию защиты служебной информации ограниченного распространения.

Есть такой вот приказ - Приказ ФСТЭК России от 11.04.2025 N 117 "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений" (Зарегистрировано в Минюсте России 16.06.2025 N 82619). вступит с марта 2026го года. Ранее был Приказ ФСТЭК России от 11.02.2013 N 17, и в нем не было ни слова про подрядные организации. А теперь - распишите и получите, целая куча интересных пунктов

Ниже - ссылка на интерсную статью с подробным и очень качественным разбором этого приказа: https://sec.ussc.ru/fstec_117

Ну и выкопировки из закона:

2. В случае передачи из государственной информационной системы информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации (далее - информация ограниченного доступа), информационная система, в которую передается информация ограниченного доступа, должна соответствовать требованиям о защите информации, установленным в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" <1>. Состав передаваемой информации ограниченного доступа, цели ее защиты и уровень защищенности в соответствии с Требованиями должны устанавливаться обладателем информации, заказчиком, заключившим контракт на создание информационных систем, оператором информационных систем (далее - оператор (обладатель информации).

--------------------------------

<1> Часть 8.1 статьи 14 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

13. Оператор (обладатель информации) должен организовывать деятельность по защите информации и управлять ею в соответствии с Требованиями.

14. Организация деятельности по защите информации должна включать:

г) разработку и утверждение внутренних стандартов по защите информации, содержащих в том числе:

порядок и условия предоставления работникам подрядных организаций доступа к информационным системам, содержащейся в них информации, и (или) передачи им информации, контроля за таким доступом, передачей в случае привлечения подрядных организаций;

14. Организация деятельности по защите информации должна включать:

д) разработку и утверждение внутренних регламентов по защите информации, содержащих в том числе:

16. Организации, которым предоставляется доступ к информационным системам оператора (обладателя информации) и (или) содержащейся в них информации для оказания услуг, проведения работ по обработке, хранению информации, созданию (развитию), обеспечению эксплуатации информационных систем, а также для выполнения работ, оказания услуг по защите информации (далее - подрядные организации), должны быть ознакомлены с политикой защиты информации в части, их касающейся.

Обязанность подрядной организации по выполнению политики защиты информации должна быть определена в документах оператора (обладателя информации), на основании которых в том числе передается информация, предоставляется доступ к информационным системам оператора (обладателя информации) или содержащейся в них информации.

26. Внутренние стандарты и регламенты по защите информации доводятся до пользователей, а также подрядных организаций в части, их касающейся.

Внутренние стандарты и регламенты по защите информации подлежат исполнению пользователями в части, их касающейся.

Обязанность подрядной организации по выполнению внутренних стандартов и регламентов по защите информации должна быть определена в документах оператора (обладателя), на основании которых передается информация, предоставляется доступ к информационным системам оператора (обладателя информации) или содержащейся в них информации.

58.

Не допускается копирование подрядными организациями информации, к которой им предоставлен доступ, если такое копирование не предусмотрено в документах оператора (обладателя информации), на основании которых подрядным организациям предоставлен доступ к информационным системам.

В информационных системах, отдельных программно-аппаратных средствах подрядных организаций, в которых осуществляются обработка и хранение полученной в результате предоставленного доступа информации, должны быть приняты меры по защите информации. Состав информации, цели ее защиты и классы защищенности, в соответствии с которыми подрядными организациями должны быть приняты меры по защите информации во взаимодействующих информационных системах, устанавливаются оператором (обладателем информации) на основании Требований во внутренних стандартах и регламентах по защите информации.

65. С целью подтверждения достаточности принятых мер защиты информационных систем и содержащейся в них информации до начала обработки и (или) хранения информации в государственных информационных системах должна быть проведена их аттестация <29> на соответствие Требованиям в соответствии с Порядком организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденным приказом ФСТЭК России от 29 апреля 2021 г. N 77 <30>.

Самое важное в пункте 58: Подрядчиком должны быть приняты меры по защите информации ДСП, а какие меры -

определяет обладатель информации.

Так же любопытна отсылка на 77-й приказ ФСТЭК.(Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденным приказом ФСТЭК России от 29 апреля 2021 г. N 77). Его область применения НЕ включает никаких подрядчиков, однако в пункте 3 включает помещения, предназначенные для ведения конфиденциальных переговоров (далее - защищаемые помещения). Мое личное неэкспертное предположение - именно по данному документу, вероятно, подрядчикам придется аттестовывать ЭВМ при соответствующем запросе оператора. Но это не точно :))

Так же есть приказы касающиеся ОПК (военки), КИИ и, что самое интересное, потенциально опасных объектах, однако никакого интереса для подрядчика они по сути не представляют в их текущем виде. Тем не менее - пусть будет перечень в подборке (Потенциально опасный объект - это объект, на котором расположены здания и сооружения повышенного уровня ответственности, либо объект, на котором возможно одновременное пребывание более пяти тысяч человек.
согласно ФЗ от 21.12.1994 N 68-ФЗ "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера") :

Ну и еще куча ссылок из Консультанта, которые, вероятно, ни к чему не пригодятся никогда, а часть даже устарела - но в табличном виде по министерствам

Например, выкопировка из 841-го Росавиации: п.7.6 "Договоры, соглашения и государственные контракты должны включать положения, регламентирующие порядок обращения со служебной информацией ограниченного распространения и ответственность за его нарушение."

То есть - внимательно читаем договора)

Ну и на закуску просто РД про что-то:) "РД 52.18.733-2010. Руководящий документ. Формирование и ведение фонда нормативных документов" (утв. Росгидрометом 28.06.2010) (ред. от 10.12.2021)

Вот еще дельная статья https://habr.com/ru/articles/924106/ - там есть отсылка к приказу Минцифры РФ N 611, ФСО РФ № 96 от 12.07.2024 — описывает требования к обмену документами в электронном виде, в том числе формат документа и контейнераи описывается, что по электронке можно - но осторожно и "правильным" шифрованием с СКЗИ

А так же существует Постановления Правительства РФ от 25 декабря 2014 г. № 1494 "Об утверждении Правил обмена документами в электронном виде при организации информационного взаимодействия";