УТВЕРЖДЕНЫ
руководством 8 Центра
ФСБ России
от 21 февраля 2008 года N 149/5-144
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
____________________________________________________________________
Фактически не применяются в связи с отменой с 15 ноября 2012 года
постановления Правительства Российской Федерации от 17 ноября 2007 года N 781
на основании постановления Правительства Российской Федерации
от 1 ноября 2012 года N 1119. -
См. информацию ФСБ России от 21 июня 2016 года
____________________________________________________________________
Введение
Настоящие Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (далее - Методические рекомендации) разработаны в соответствии с п.2 постановления Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
Методические рекомендации предназначены для операторов и разработчиков информационных систем персональных данных и охватывают вопросы защиты персональных данных с помощью криптосредств.
Методическими рекомендациями необходимо руководствоваться в случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств (за исключением случая, когда оператором является физическое лицо, использующее персональные данные исключительно для личных и семейных нужд), а также при обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России. В частности, Методическими рекомендациями необходимо руководствоваться в следующих случаях:
- при обеспечении с использованием криптосредств безопасности персональных данных при их обработке в государственных информационных системах персональных данных (часть 5 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации");
- при использовании криптосредств для обеспечения персональных данных в случаях, предусмотренных п.3 Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).
Настоящие Методические рекомендации не распространяются на информационные системы персональных данных, в которых:
- персональные данные обрабатываются без использования средств автоматизации;
- обрабатываются персональные данные, отнесенные в установленном порядке к сведениям, составляющим государственную тайну;
- технические средства частично или целиком находятся за пределами Российской Федерации.
1 Основные термины и их определения
В настоящих Методических рекомендациях и при взаимодействии с лицензиатами ФСБ России, являющимися разработчиками криптосредств, разработчиками информационных систем персональных данных, в которых используются криптосредства, или специализированными организациями, проводящими тематические исследования криптосредств, используются следующие основные термины.
Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
________________
Автоматизированная система в защищенном исполнении (АСЗИ) - автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и (или) иных нормативных документов по защите информации.
________________
ГОСТ Р 51624-2000.
Атака - целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.
Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
________________
Закон Российской Федерации "О безопасности".
Безопасность объекта - состояние защищенности объекта от внешних и внутренних угроз.
Примечание
Данное определение распространяется на любой реальный объект, в качестве которого могут выступать технические средства, программные средства, информация, информационные технологии, информационные системы, информационно-телекоммуникационные сети, здания, сооружения и т.д.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
________________
Федеральный закон "О персональных данных".
Встраивание криптосредства - процесс подключения криптосредства к техническим и программным средствам, совместно с которыми предполагается его штатное функционирование, за исключением процесса инсталляции.
Документированные (декларированные) возможности ПО (ТС) - функциональные возможности ПО (ТС), описанные в документации на ПО (ТС).
Доступ к информации - возможность получения информации и ее использования.
________________
Федеральный закон "Об информации, информационных технологиях и о защите информации".
Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
________________
Закон Российской Федерации "О безопасности".
Защищаемая информация - информация, для которой обладателем информации определены характеристики ее безопасности.
Инсталляция - установка программного продукта на компьютер. Инсталляция обычно выполняется под управлением инсталлятора - программы, которая приводит состав и структуру устанавливаемого программного изделия в соответствие с конфигурацией компьютера, а также настраивает программные параметры согласно типу имеющейся операционной системы, классам решаемых задач и режимам работы. Таким образом, инсталляция делает программный продукт пригодным для использования в данной вычислительной системе и готовым решать определенный класс задач в определенном режиме работы.
________________
В.Дорот, Ф.Новиков "Толковый словарь современной компьютерной лексики", СПб., БХВ-Петербург, 2004.
Информация - сведения (сообщения, данные) независимо от формы их представления.
________________
Федеральный закон "Об информации, информационных технологиях и о защите информации".
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
________________
Федеральный закон "Об информации, информационных технологиях и о защите информации".
Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
________________
Федеральный закон "О персональных данных".
Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
________________
Федеральный закон "Об информации, информационных технологиях и о защите информации".
Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
________________
Федеральный закон "Об информации, информационных технологиях и о защите информации".
Информационно-телекоммуникационная сеть общего пользования -информационно-телекоммуникационная сеть, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.
Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
________________
Федеральный закон "О персональных данных".
Канал атаки - среда переноса от субъекта к объекту атаки (а, возможно, и от объекта к субъекту атаки) действий, осуществляемых при проведении атаки.
Контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств.
Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
________________
ГОСТ Р 51624-2000.
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
________________
Федеральный закон "Об информации, информационных технологиях и о защите информации".
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
________________
Федеральный закон "О персональных данных".
Криптографически опасная информация (КОИ) - информация о состояниях криптосредства, знание которой нарушителем позволит ему строить алгоритмы определения ключевой информации (или ее части) или алгоритмы бесключевого чтения.
Криптосредство - шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
________________
"Положение о разработке, производстве, реализации и шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", зарегистрировано Минюстом России (регистрационный N 6382 от 3 марта 2005 года).
Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности".
