Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (фактически не применяются)
2 Основные положения
2.1. Работы по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (далее - информационная система) проводятся в соответствии со следующими основными документами:
- Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных";
- Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановлением Правительства Российской Федерации от 17 ноября 2007 года N 781 (далее - Положение);
- Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года N 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 года, регистрационный N 11462) (далее - Порядок);
- Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденное приказом ФСБ России от 9 февраля 2005 года N 66 (зарегистрирован Минюстом России 3 марта 2005 года, регистрационный N 6382);
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ России, N 149/6/6-622, 2008);
- настоящие Методические рекомендации.
2.2. В соответствии с п.2 Положения безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
2.3. В соответствии с п.12 Положения необходимым условием разработки системы защиты персональных данных является формирование модели угроз безопасности персональных данных (далее - модель угроз).
Кроме этого, в соответствии с п.16 Порядка модель угроз необходима для определения класса специальной информационной системы.
2.4. Модель угроз формируется и утверждается оператором в соответствии с методическими документами, разработанными в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
________________
Собрание законодательства Российской Федерации 2007, N 48, часть II, ст.6001.
В случае обеспечения безопасности персональных данных без использования криптосредств при формировании модели угроз используются методические документы ФСТЭК России.
В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСТЭК России и настоящие Методические рекомендации. При этом из двух содержащихся в документах ФСТЭК России и Методических рекомендациях однотипных угроз выбирается более опасная.
По согласованию с ФСТЭК России и ФСБ России допускается формирование модели угроз только на основании настоящих Методических рекомендаций.
При обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России, модели угроз формируются только на основании настоящих Методических рекомендаций.
2.5. В случае использования в информационной системе криптосредств при необходимости к формированию модели угроз могут привлекаться лицензиаты ФСБ России, являющиеся разработчиками криптосредств или специализированными организациями, проводящими тематические исследования криптосредств.
2.6. Модель угроз может быть пересмотрена:
- по решению оператора на основе периодически проводимых им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
- по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.