Недействующий
БЕСПЛАТНО проверьте актуальность своей документации
с «Кодекс/Техэксперт АССИСТЕНТ»

     

УТВЕРЖДЕНЫ
руководством 8 Центра
ФСБ России
от 21 февраля 2008 года N 149/5-144



Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации

____________________________________________________________________
Фактически не применяются в связи с отменой с 15 ноября 2012 года
постановления Правительства Российской Федерации от 17 ноября 2007 года N 781
 на основании постановления Правительства Российской Федерации
от 1 ноября 2012 года N 1119
. -
См. информацию ФСБ России от 21 июня 2016 года

____________________________________________________________________

     

     

Введение


Настоящие Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (далее - Методические рекомендации) разработаны в соответствии с п.2 постановления Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

Методические рекомендации предназначены для операторов и разработчиков информационных систем персональных данных и охватывают вопросы защиты персональных данных с помощью криптосредств.

Методическими рекомендациями необходимо руководствоваться в случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств (за исключением случая, когда оператором является физическое лицо, использующее персональные данные исключительно для личных и семейных нужд), а также при обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России. В частности, Методическими рекомендациями необходимо руководствоваться в следующих случаях:

- при обеспечении с использованием криптосредств безопасности персональных данных при их обработке в государственных информационных системах персональных данных (часть 5 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации");

- при использовании криптосредств для обеспечения персональных данных в случаях, предусмотренных п.3 Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).

Настоящие Методические рекомендации не распространяются на информационные системы персональных данных, в которых:

- персональные данные обрабатываются без использования средств автоматизации;

- обрабатываются персональные данные, отнесенные в установленном порядке к сведениям, составляющим государственную тайну;

- технические средства частично или целиком находятся за пределами Российской Федерации.

1 Основные термины и их определения


В настоящих Методических рекомендациях и при взаимодействии с лицензиатами ФСБ России, являющимися разработчиками криптосредств, разработчиками информационных систем персональных данных, в которых используются криптосредства, или специализированными организациями, проводящими тематические исследования криптосредств, используются следующие основные термины.

Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

________________

ГОСТ 34.003-90.


Автоматизированная система в защищенном исполнении (АСЗИ) - автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и (или) иных нормативных документов по защите информации.

________________

ГОСТ Р 51624-2000.


Атака - целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.

Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

________________

Закон Российской Федерации "О безопасности".


Безопасность объекта - состояние защищенности объекта от внешних и внутренних угроз.

Примечание

Данное определение распространяется на любой реальный объект, в качестве которого могут выступать технические средства, программные средства, информация, информационные технологии, информационные системы, информационно-телекоммуникационные сети, здания, сооружения и т.д.

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

________________

Федеральный закон "О персональных данных".

Встраивание криптосредства - процесс подключения криптосредства к техническим и программным средствам, совместно с которыми предполагается его штатное функционирование, за исключением процесса инсталляции.

Документированные (декларированные) возможности ПО (ТС) - функциональные возможности ПО (ТС), описанные в документации на ПО (ТС).

Доступ к информации - возможность получения информации и ее использования.

________________

Федеральный закон "Об информации, информационных технологиях и о защите информации".


Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.

________________

Закон Российской Федерации "О безопасности".


Защищаемая информация - информация, для которой обладателем информации определены характеристики ее безопасности.

Инсталляция - установка программного продукта на компьютер. Инсталляция обычно выполняется под управлением инсталлятора - программы, которая приводит состав и структуру устанавливаемого программного изделия в соответствие с конфигурацией компьютера, а также настраивает программные параметры согласно типу имеющейся операционной системы, классам решаемых задач и режимам работы. Таким образом, инсталляция делает программный продукт пригодным для использования в данной вычислительной системе и готовым решать определенный класс задач в определенном режиме работы.

________________

В.Дорот, Ф.Новиков "Толковый словарь современной компьютерной лексики", СПб., БХВ-Петербург, 2004.


Информация - сведения (сообщения, данные) независимо от формы их представления.

________________

Федеральный закон "Об информации, информационных технологиях и о защите информации".


Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

________________

Федеральный закон "Об информации, информационных технологиях и о защите информации".


Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

________________

Федеральный закон "О персональных данных".


Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

________________

Федеральный закон "Об информации, информационных технологиях и о защите информации".


Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

________________

Федеральный закон "Об информации, информационных технологиях и о защите информации".


Информационно-телекоммуникационная сеть общего пользования -информационно-телекоммуникационная сеть, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

________________

Федеральный закон "О персональных данных".


Канал атаки - среда переноса от субъекта к объекту атаки (а, возможно, и от объекта к субъекту атаки) действий, осуществляемых при проведении атаки.

Контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств.

Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

________________

ГОСТ Р 51624-2000.


Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

________________

Федеральный закон "Об информации, информационных технологиях и о защите информации".


Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

________________

Федеральный закон "О персональных данных".


Криптографически опасная информация (КОИ) - информация о состояниях криптосредства, знание которой нарушителем позволит ему строить алгоритмы определения ключевой информации (или ее части) или алгоритмы бесключевого чтения.

Криптосредство - шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

________________

"Положение о разработке, производстве, реализации и шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", зарегистрировано Минюстом России (регистрационный N 6382 от 3 марта 2005 года).


Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности".