В соответствии с приказом ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну":
- утвердить Инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну;
- определить порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (пункт 1, часть Ⅰ);
- лицензиат ФАПСИ создает один или несколько органов криптографической защиты для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации (пункт 6, часть Ⅱ);
- лицензиат ФАПСИ устанавливает количество органов криптографической защиты и их численность (пункт 6, часть Ⅱ);
- осуществить разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам (пункт 7, часть Ⅱ);
|
- организовать поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним (пункт 7, часть Ⅱ);
- осуществлять подачу заявок в ФАПСИ или лицензиату, имеющему лицензию ФАПСИ на деятельность по изготовлению ключевых документов*(9) для СКЗИ, на изготовление ключевых документов или исходной ключевой информации (пункт 7, часть Ⅱ);
- разработать схему организации криптографической защиты конфиденциальной информации (с указанием наименования и размещения нижестоящих органов криптографической защиты, если таковые имеются, обладателей конфиденциальной информации, реквизитов договоров на оказание услуг по криптографической защите конфиденциальной информации, а также с указанием типов применяемых СКЗИ и ключевых документов к ним, видов защищаемой информации, используемых совместно с СКЗИ технических средств связи, прикладного и общесистемного программного обеспечения и средств вычислительной техники) (пункт 7, часть Ⅱ);
- согласовывать с лицензиатом ФАПСИ инструкции, регламентирующие процессы подготовки, ввода, обработки, хранения и передачи защищаемой с использованием СКЗИ конфиденциальной информации (пункт 10, часть Ⅱ);
- лицензиатам ФАПСИ разработать методические рекомендации по применению настоящей Инструкции, не противоречащие ее требованиям (пункт 11, часть Ⅱ);
- ФАПСИ на договорной основе или лицам, имеющим лицензию ФАПСИ на деятельность по изготовлению ключевых документов для СКЗИ изготовить ключевые документы для СКЗИ (пункт 12, часть Ⅱ);
|
- под расписку ознакомить лица, оформляемые на работу в органы криптографической защиты, с настоящей Инструкцией (пункт 14, часть Ⅱ);
- разработать функциональные обязанности сотрудников органа криптографической защиты (пункт 18, часть Ⅱ);
- пользователи СКЗИ обязаны сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы, при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ (пункт 20, часть Ⅱ);
- на основании принятых зачетов по программе обучения комиссией соответствующего органа криптографической защиты составить заключение, которое, будет являться документом, подтверждающим должную специальную подготовку пользователей и возможность их допуска к самостоятельной работе с СКЗИ (пункт 21, часть Ⅱ).
В соответствии с приказом ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности":
- утвердить руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей (подпункт в, пункт 5, часть Ⅱ);
- утвердить правила доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях (подпункт б, пункт 6, часть Ⅱ);
|
- утвердить перечень лиц, имеющих право доступа в Помещения (подпункт в, пункт 6, часть Ⅱ);
- разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей (подпункт а, пункт 8, часть Ⅱ);
- поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей (подпункт б, пункт 8, часть Ⅱ);
- утвердить руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии (подпункт а, пункт 20, часть Ⅳ).
В соответствии с Постановлением Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации":
- использовать типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных (пункт 7, часть Ⅱ);
- необходимо ведение журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (пункт 8, часть Ⅱ);
В соответствии с Постановлением Правительства РФ от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации":
- определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации (подпункт а, пункт 1.2, часть Ⅰ);
- создать модель угроз безопасности информации и (или) техническое задание на создание системы (пункт 3, часть Ⅱ);
- утвердить должностным лицом органа исполнительной власти техническое задание на создание системы и модель угроз безопасности информации (пункт 4, часть Ⅱ);
В соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных":
- Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе (пункт 3);
В соответствии с Постановлением Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами":
- назначить ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа государственных или муниципальных служащих и (или) работников указанного органа, замещающих должности, не являющиеся должностями государственной гражданской службы Российской Федерации или муниципальной службы, на основании трудового договора (далее - служащие) (подпункт а, пункт 1);
- утвердить правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований (подпункт б, пункт 1);
- утвердить правила рассмотрения запросов субъектов персональных данных или их представителей (подпункт б, пункт 1);
- утвердить правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора (подпункт б, пункт 1);
- утвердить правила работы с обезличенными данными в случае обезличивания персональных данных (подпункт б, пункт 1);
- утвердить перечень информационных систем персональных данных (подпункт б, пункт 1);
- утвердить перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций (подпункт б, пункт 1);
- утвердить перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных (подпункт б, пункт 1);
- утвердить перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (подпункт б, пункт 1);
- утвердить должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе (подпункт б, пункт 1);
- утвердить типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (подпункт б, пункт 1);
- утвердить типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (подпункт б, пункт 1);
- утвердить порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных (подпункт б, пункт 1);
- опубликованию документы, определяющие политику в отношении обработки персональных данных, на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения (пункт 2).
В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных":
- необходимо согласие субъекта персональных данных на обработку его персональных данных (статья 9);
- сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных (пункт 1, статья 11);
- субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (пункт 1, статья 14);
- субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений (пункт 5, статья 14);
- при сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию (пункт 1, статья 18);
- при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (пункт 5, статья 18);
В соответствии с Приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
- формирование требований к защите информации, содержащейся в информационной системе (пункт 14, глава Ⅱ);
- классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (пункт 14.2, глава Ⅱ);
- угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) (пункт 14.3, глава Ⅱ);
- модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (пункт 14.3, глава Ⅱ);
- для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России (пункт 14.3, глава Ⅱ);
- разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (пункт 15);
- аттестация информационной системы организуется обладателем информации (заказчиком) или оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы настоящим Требованиям (пункт 17).
В соответствии с Указом Президента РФ от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена":
- при необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте "а" настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю (подпункт б, пункт 1);
- государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только средства защиты информации, прошедшие в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю (подпункт в, пункт 1);
- размещение технических средств, подключаемых к информационно-телекоммуникационным сетям международного информационного обмена, в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, осуществляется только при наличии сертификата, разрешающего эксплуатацию таких технических средств в указанных помещениях (подпункт г, пункт 1).