Оглавление:

Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

Приказ ФСБ России от 10 июля 2014 г. N 378
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»* приказываю

утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

Зарегистрировано в Минюсте РФ 18 августа 2014 г.

Регистрационный N 33620

* Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716, N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. 1), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. 1), ст. 4038.

Оператор персональных данных при их обработке должен принимать необходимые меры по обеспечению их безопасности. Это касается и обработки данных в информационных системах с использованием средств криптографической защиты информации (СКЗИ).

Определен комплекс мер по обеспечению безопасности персональных данных при указанной обработке. Он включает набор организационных и технических мероприятий по защите персональных данных для каждого из четырех уровней защищенности.

Во всех случаях требуется обеспечить сохранность носителей персональных данных; исключить неконтролируемое проникновение или пребывание в помещениях, где размещена информационная система, посторонних лиц. Также следует определить список лиц, которым необходим доступ к персональным данным для выполнения ими служебных (трудовых) обязанностей.

Для нейтрализации актуальных угроз нужно использовать средства защиты информации, прошедшие процедуру оценки соответствия.

Для каждого уровня защищенности персональных данных предусмотрено применение СКЗИ соответствующего класса.

Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

Зарегистрировано в Минюсте РФ 18 августа 2014 г.

Регистрационный N 33620

Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования

Текст приказа опубликован в «Российской газете» от 17 сентября 2014 г. N 211

Приказ фсб 378 2019

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

AlexG, не суди строго я молодой специалист и глаз еще не намотан, что я увидел:
1)требования к защите ПД для каждого из уровней защищенности (какой класс СКЗИ должен быть использован для того или иного уровня защиты)
2) не знаю было ли раньше, но как я понял, что нужно необходимо «беспечение периодического контроля работоспособности указанных в подпунктах «б» и «в» настоящего пункта автоматизированных средств (не реже 1 раза в полгода).»
далее уже цитаты Лукацкого А.
3) Помимо оснащения помещения дверей с замками и их опечатывания помещений по окончании рабочего дня, теперь можно помещения просто оснастить техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений
4) Вместо хранения всех носителей ПДн (включая бумажные, сервера, сетевое оборудование и т.п.), теперь в проекте приказа говорится только о съемных машинных носителях
5) Поэкзмеплярный учет теперь нужно делать не для всех носителей, а только для машинных (но не только съемных)

подскажи, может я что то упустил ?

Сергей, вот смотри:

п.6. б) Правила доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
п.6. в) Перечень лиц, имеющих право доступа в Помещения.
п.7. б) Журнал учета носителей персональных данных с использованием регистрационных (заводских) номеров.
п.8. а) документ (например, Список или Перечень), определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных обязанностей;

п.9. б) . здесь, коротко говоря, нужна Модель угроз (совокупность предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак);
п. 17. Приказ о назначении ответственного за безопасность ПДн плюс Инструкция этому ответственному.
п.20 а) Список лиц, допущенных к содержанию эл. журнала сообщений .

Ну и т.д. Из каждого пункта приказа вытекает необходимость написать какую-то бумажку.
Плюс набор «бумажек», регламентирующих эксплуатацию криптосредств (см. «Типовые требования по организации и обеспечению функционирования ШС . » 2008г.

Занялся проработкой документов по СКЗИ. Откопал кучу документов регламентирующих использование крипты. Половина из них в непонятном статусе. Например «Методические рекомендации
по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
(утв. ФСБ РФ 21 февраля 2008 г. N 149/54-144)». Документ очень древний и ссылается аж на 781 приказ. Как с ним быть? К тому же есть ФАПСИ и прочие национальные стандарты.

На одном из форумов наткнулся на такой пост:

1. Теперь у вас есть (еще одна) ИСПДн. Вам нужно ее классифицировать, разработать модель угроз с учетом требований ФСБ;
2. На установленный випнет необходимо сформировать заключение о возможности эксплуатации СКЗИ. В котором перечислить тип СКЗИ и серийный номер, серийники ПК, указать результаты тестов работоспособности СКЗИ и т.д.;
3. Опечатать системный блок, где установлен випнет. Номера печати внести в Заключение;
4. Назначить приказом ответственных за обслуживание СКЗИ, а так же допущенных к работе с випнетом;
5. Описать функциональные обязанности ответственных;
6. Разработать инструкции, регламентирующие процессы подготовки, ввода, обработки, хранения и передачи защищаемой информации и согласовать их с лицензиатом ФСБ;
7. Ознакомить всех ответственных со всеми документами под роспись;
8. Организовать орган криптографической защиты;
9. Организовать комиссию по обучению лиц, допущенных к работе с СКЗИ. Разработать программу зачётов. Организовать обучение и устроить зачёты. Составить на каждого пользователя заключение.
10. Завести технический (аппаратный) журнал, в котором учесть все СКЗИ, материальные носители, ключевые носители и документацию на СКЗИ;
11. Выдавать СКЗИ, ключи, документацию и мат.носители под роспись в журнале;
12. Завести на каждого пользователя лицевой счёт, в котором фиксировать выданные СКЗИ, ключи, документацию и мат.носители;
13. Каждому пользователю организовать индивидуальное хранилище для хранения СКЗИ, ключей и документации. А так же отдельное хранилище для хранения резервных копий (хранить их требуется отдельно от рабочих). Сделать дубликаты ключей от хранилищ и надежно их хранить;
14. Помещения, где стоит випнет (или хранятся ключи), оснастить охранной сигнализацией. Периодически проверять ее работоспособность;
15. Расположить мониторы так, чтобы исключить просмотр содержимого экрана посторонними. Защитить окна от подглядываний;
16. Пронумеровать, учесть и выдать под расписку ключи от помещений пользователям. Сделать дубликаты и хранить отдельно в сейфе;
17. Помещение, где стоит випнет, должно постоянно замыкаться на ключ и может открываться только для «санкционированного прохода пользователей»;
18. В конце дня все индивидуальные хранилища опечатывать, помещения закрывать на ключ. Ключи сдавать под расписку ответственному (личные печати для опечатывания хранилищ и помещений пользователи уносят с собой);
19. В моменты смены криптоключей — удалять из помещения всех не допущенных к СКЗИ лиц;
20. Описать принятые организационные и технические меры защиты.

Все вышеуказанные требования обязательны (правда проверяют пока что только гос.организации). Прецеденты с наказаниями имеются.

Создано по 152 приказу ФАПСИ и Типовым требованиям по использованию СКЗИ для защиты ПДн ФСБ»

Недавно начал прорабатывать данное направление. Глаза разбегаются. Подскажите актуальный перечень нормативных документов по СКЗИ для персоналки (и для 17 приказа тоже). Для себя я пока нашел пару-тройку документов. взгляните:

  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ РФ 21 февраля 2008 г. N 149/54-144)

Очень старый документ. статус его мне не понятен. Он ещё времен 781 и приказа трех. Нашел для себя интересные вещи. В частности модель нарушителя и классификацию СКЗИ. Насколько я понял в добавок к обычной модели угроз надо делать ещё одну по требованиям ФСБ (для тех систем где есть СКЗИ). Ибо МУ получится очень громоздкая. А её потом надо с адаптированным базовым набором мер сопоставлять.

  • Национальный стандарт РФ ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» (утв. приказом Федерального агентства по техническому регулированию и метрологии от 7 августа 2012 г. N 215-ст)
  • Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
  • Постановление Правительства РФ от 16 апреля 2012 г. N 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, аспространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»
  • Приказ ФАПСИ от 13 июня 2001 г. N 152
    «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
  • Приказ ФСБ РФ от 9 февраля 2005 г. N 66
    «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»
  • Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСБ РФ 8 августа 2009 г. N 149/7/2/6-1173)
Смотрите так же:  Договор купли продажи 2008

Взгляните, может что упустил. Или лишнего написал.

Бизнес без опасности

Бизнес безопасности или безопасность бизнеса? О том и о другом в одном блоге. Имеющий мозг да применит его (6+)

Что делать с новым приказом ФСБ по персданным?

Как-то незаметно для всех прошла регистрация в середине августа приказа ФСБ «по персданным» (он же приказ №378 от 10.07.2014), о котором я писал не раз (в частности, тут и тут). И поскольку текст финального варианта ничем не отличается от проекта, о котором я писал, то много говорить о приказе не хочется. Тем более, что про него уже отписались Саша Бондаренко и Сергей Борисов. Но так как меня просили высказаться, то не могу не сказать пару слов 🙂

Во-первых, я бы хотел развенчать заблуждение о том, что это приказ о применении СКЗИ для защиты персданных. Это не так. Приказ делится на две части — применение СКЗИ и ответ на до недавнего времени непонятные моменты, связанные с ПП-1119. Что такое режим безопасности помещений? Что такое электронный журнал сообщений? Что такое сохранность ПДн? На все это в приказе №378 даны ответы. Поэтому, даже если вы не применяете СКЗИ, то уйти от выполнения этого приказа ФСБ не удастся, как и от опечатывания помещений, учета машинных носителей ПДн и другой лабуды, которая мало кому помогает в деле защиты ПДн, а в ряде случаев и вовсе неисполнима.

Но приказ есть и с ним надо что-то делать. Что? Могу посоветовать ровно то, что советовали представители 8-го Центра на одном из заседании в Совете Федерации в конце прошлого года, когда мы подняли тему невыполнимости этого приказа. Сказали оно одну простую вещь — «не хотите выполнять приказ, творчески подойдите к процессу формирования модели угроз». Иными словами, представители регулятора решили вовсе не заморачиваться с защитой ПДн, дав всем операторам простой совет — исключите угрозу нарушения конфиденциальности из актуальных и вам не понадобится применение СКЗИ вовсе. Ни сертифицированных, ни несертифицированных. Понятно, что это малость противоречит духу ФЗ-152 в части защиты прав субъектов, но кого эти субъекты и их права волнуют? На них давно уже забили болт даже в Роскомнадзоре, который благополучно разрешил РЖД считать паспортные данные общедоступными. И Правительство вполне легально и согласно букве закона не заморачивается применением СКЗИ. Да что уж там. Закон о защите прав субъектов ПДн давно уже переименовали (даже регуляторы) в закон о защите ПДн, подменив суть и закона и его содержания. Но вернемся, к 378-му приказу.

Итак, я рекомендовал бы исключить нарушение конфиденциальности из числа актуальных угроз. Имеете ли вы на это право? Да, вполне. Отраслевых моделей угроз у нас пока нет. Поэтому пишите свои, устраивающие вас. Рекомендую ли я отказаться от защиты прав субъектов ПДн? Нет, не рекомендую. Просто формальный отказ от конфиденциальности, дает вам право также формально отказаться от применения сертифицированных СКЗИ. Иными словами, уйти из под действия регулятора, который за 3 года так и не смог родить адекватные требования по защите ПДн. А вот уйдя из под регулятора, вы уже в своем праве применять любые средства защиты, включая и несертифицированную, но официально ввезенную криптографию.

Вот только от оргмер, прописанных в 378-м приказе и разъясняющих ПП-1119 уйти не удастся — они не зависят от модели угроз. Единственное, что могу посоветовать — исключить из списка типов актуальных угроз первый и второй тип. Тогда вы в 99% случаев попадете под 4-й класс защищенности, который наименее жесток с точки зрения выполнения требований ФСБ.

ЗЫ. Обратите внимание, что приказ пока официально не опубликован, но вспоминая, что последний приказ ФСТЭК (№31) ждал публикации около месяца с момента регистрации, то и с приказом ФСБ, видимо, будет такая же эпопея — к середине-концу сентября, думаю, стоит ждать официального вступления в силу.

ФСБ опубликовала список нормативно-методических документов, действующих в области обеспечения безопасности персональных данных

ФСБ России во вторник сообщила, что в связи с выводом из действия постановления правительства Российской Федерации от 17 ноября 2007 года №781 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» и «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» утратили актуальность.

В настоящее время в области обеспечения безопасности персональных данных действуют следующие нормативно-методические документы ФСБ России:

1. Приказ ФСБ от 10 июля 2014 года № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;

2. Приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»;

3. «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152;

4. «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015).

Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

Зарегистрирован в Минюсте РФ 18 августа 2014 г.

Регистрационный N 33620

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» 1 приказываю:

утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

Директор А. Бортников

1 Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. I), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. I), ст. 4038.

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности

I. Общие положения

1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — информационная система) с использованием средств криптографической защиты информации (далее — СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

Смотрите так же:  Гражданский кодекс ст8

2. Настоящий документ предназначен для операторов, использующих СКЗИ для обеспечения безопасности персональных данных при их обработке в информационных системах.

3. Применение организационных и технических мер, определенных в настоящем документе, обеспечивает оператор с учетом требований эксплуатационных документов на СКЗИ, используемые для обеспечения безопасности персональных данных при их обработке в информационных системах.

4. Эксплуатация СКЗИ должна осуществляться в соответствии с документацией на СКЗИ и требованиями, установленными в настоящем документе, а также в соответствии с иными нормативными правовыми актами, регулирующими отношения в соответствующей области.

II. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 4 уровня защищенности

5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119 1 (далее — Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

6. Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее — Помещения), лиц, не имеющих права доступа в Помещения, которое достигается путем:

а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;

б) утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях;

в) утверждения перечня лиц, имеющих право доступа в Помещения.

7. Для выполнения требования, указанного в подпункте «б» пункта 5 настоящего документа, необходимо:

а) осуществлять хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);

б) осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.

8. Для выполнения требования, указанного в подпункте «в» пункта 5 настоящего документа, необходимо:

а) разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

б) поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

9. Для выполнения требования, указанного в подпункте «г» пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее — атака), которое достигается путем:

а) получения исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак;

б) формирования и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ;

в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.

10. СКЗИ класса КС1 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих:

а) создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ;

б) создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ 2 ;

в) проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее контролируемая зона) 3 ;

г) проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:

внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программых средств, совместно с которыми штатнофункционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее — СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;

внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ;

д) проведение атак на этапе эксплуатации СКЗИ на:

ключевую, аутентифицирующую и парольную информацию СКЗИ;

программные компоненты СКЗИ;

аппаратные компоненты СКЗИ;

программные компоненты СФ, включая программное обеспечение BIOS;

аппаратные компоненты СФ;

данные, передаваемые по каналам связи;

иные объекты, которые установлены при формировании совокупности предложений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее — АС) и программного обеспечения (далее — ПО);

е) получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть «Интернет») информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация:

общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);

сведения об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационной системе совместно с СКЗИ;

содержание конструкторской документации на СКЗИ;

содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;

общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;

сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее — канал связи);

все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами;

сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;

сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;

сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ;

находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;

специально разработанных АС и ПО;

з) использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:

каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами;

каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ;

и) проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети;

к) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее — штатные средства).

11. СКЗИ класса КС2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пункте 10 настоящего документа и не менее одной из следующих дополнительных возможностей:

а) проведение атаки при нахождении в пределах контролируемой зоны;

б) проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

документацию на СКЗИ и компоненты СФ.

Помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее — СВТ), на которых реализованы СКЗИ и СФ;

в) получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;

сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;

сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ;

г) использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:

Смотрите так же:  Договор беспроцентного займа от учредителя 2019 год

а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;

б) возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

13. СКЗИ класса KB применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 — 12 настоящего документа и не менее одной из следующих дополнительных возможностей:

а) создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО;

б) проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий;

в) проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.

14. СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 — 13 настоящего документа и не менее одной из следующих дополнительных возможностей:

а) создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО;

б) возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ;

в) возможность располагать всеми аппаратными компонентами СКЗИ и СФ.

15. В процессе формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, дополнительные возможности, не входящие в число перечисленных в пунктах 10 — 14 настоящего документа, не влияют на порядок определения требуемого класса СКЗИ.

III. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 3 уровня защищенности

16. В соответствии с пунктом 14 Требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 5 настоящего документа, необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе.

18. Для выполнения требования, указанного в подпункте «г» пункта 5 настоящего документа, необходимо вместо меры, предусмотренной подпунктом «в» пункта 9 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:

СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;

СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.

IV. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 2 уровня защищенности

19. В соответствии с пунктом 15 Требований к защите персональных данных для обеспечения 2 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктами 5 и 16 настоящего документа, необходимо выполнение требования о том, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

20. Для выполнения требования, указанного в пункте 19 настоящего документа, необходимо:

а) утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии;

б) обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений;

в) обеспечение информационной системы автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений;

г) обеспечение периодического контроля работоспособности указанных в подпунктах «б» и «в» настоящего пункта автоматизированных средств (не реже 1 раза в полгода).

21. Для выполнения требования, указанного в подпункте «г» пункта 5 настоящего документа, необходимо вместо мер, предусмотренных подпунктом «в» пункта 9 и пунктом 18 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:

СКЗИ класса КА в случаях, когда для информационной системы актуальны угрозы 1 типа;

СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;

СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.

V. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 1 уровня защищенности

22. В соответствии с пунктом 16 Требований к защите персональных данных для обеспечения 1 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктами 5, 16 и 19 настоящего документа, необходимо выполнение следующих требований:

а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

б) создание отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение его функций на одно из существующих структурных подразделений.

23. Для выполнения требования, указанного в подпункте «а» пункта 22 настоящего документа, необходимо:

а) обеспечение информационной системы автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

б) отражение в электронном журнале безопасности полномочий сотрудников оператора персональных данных по доступу к персональным данным, содержащимся в информационной системе. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;

в) назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям (не реже 1 раза в месяц).

24. Для выполнения требования, указанного в подпункте «б» пункта 22 настоящего документа, необходимо:

а) провести анализ целесообразности создания отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе;

б) создать отдельное структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возложить его функции на одно из существующих структурных подразделений.

25. Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, для обеспечения 1 уровня защищенности необходимо:

а) оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;

б) оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.

26. Для выполнения требования, указанного в подпункте «г» пункта 5 настоящего документа, необходимо вместо мер, предусмотренных подпунктом «в» пункта 9, пунктами 18 и 21 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:

СКЗИ класса КА в случаях, когда для информационной системы актуальны угрозы 1 типа;

СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа.

1 Собрание законодательства Российской Федерации, 2012, N 45, 6257.

2 К этапам жизненного цикла СКЗИ относятся разработка (модернизация) указанных средств, их производство, хранение, транспортировка, ввод в эксплуатацию (пусконаладочные работы), эксплуатация.

3 Границей контролируемой зоны могут быть периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

Другие публикации:

  • Обращение граждан приказ мо рф Приказ Министра обороны РФ от 18 августа 2014 г. N 555 "О мерах по реализации в Вооруженных Силах Российской Федерации Федерального закона от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" Приказ […]
  • Приказ no 960 мвд рф Приказ МВД РФ от 22 августа 2011 г. N 960 "Об утверждении типовых требований к должностной инструкции частного охранника на объекте охраны" Приказ МВД РФ от 22 августа 2011 г. N 960"Об утверждении типовых требований к должностной […]
  • Новый федеральный закон по охране труда Федеральный закон от 19 июля 2018 г. № 207-ФЗ “О внесении изменений в статьи 366 и 367 Трудового кодекса Российской Федерации в части исключения дублирования полномочий федеральных органов исполнительной власти в сфере охраны труда” (не […]
  • Зимняя форма приставы Приказ Федеральной службы судебных приставов от 30 мая 2011 г. № 255 "Об утверждении Порядка ношения форменной одежды судебными приставами и иными должностными лицами Федеральной службы судебных приставов" (не вступил в силу) В […]
  • Федеральный закон о приеме платежей Федеральный закон от 3 июня 2009 г. N 103-ФЗ "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами" (с изменениями и дополнениями) Федеральный закон от 3 июня 2009 г. N 103-ФЗ"О деятельности по приему […]
  • Приказ мвд россии 81 от 29012008 г В целях совершенствования организации комплексного использования сил и средств органов внутренних дел Российской Федерации при реализации ими на улицах, стадионах, в скверах, парках, в транспортных средствах общего пользования и в других […]
Приказ фсб 378 2019