Утверждено Положение о методах и способах защиты информации в информационных системах персональных данных

Актуально для: юридических лиц и индивидуальных предпринимателей

Документ:

Приказ ФСТЭК РФ от 05.02.2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных".

Суть изменений:

Утверждено Положение о методах и способах защиты информации в информационных системах персональных данных (далее – Положение).

Этот документ разработан в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 17.11.2007 N 781. Положение устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее – информационные системы):

•          государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее – оператор), или

•          лицом, которому на основании договора оператор поручает обработку персональных данных (далее – уполномоченное лицо).

Обратите внимание на то, что в Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.

Законодатель классифицирует методы и способы защиты информации в информационных системах на две группы:

•          от несанкционированного доступа – под ними понимаются методы и способы защиты информации, обрабатываемой техническими средствами информационной системы, от несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также от иных несанкционированных действий;

•          от утечки по техническим каналам – к ним относятся методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также от иных несанкционированных действий.

Методам и способам защиты информации от несанкционированного доступа посвящен раздел 2 Положения. К ним, в частности, относятся:

•          реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

•          использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

•          предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок;

•          размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

•          организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных.

Методы и способы защиты информации от утечки по техническим каналам подробно описаны в разделе 3 Положения. Установлено, что защита речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей, осуществляется в случаях, когда при определении угроз безопасности персональных данных и формировании модели угроз применительно к информационной системе являются актуальными угрозы утечки:

•          акустической речевой информации,

•          видовой информации,

•          информации по каналам побочных электромагнитных излучений и наводок.

Что нужно (можно) сделать:

Операторам, которые проводят обработку персональных данных с использованием информационных систем, необходимо руководствоваться нормами Положения о методах и способах защиты информации в информационных системах персональных данных, утв. Приказом ФСТЭК РФ от 05.02.2010 N 58.

Чтобы выбрать и реализовать методы и способы защиты информации в информационной системе, оператору (уполномоченному лицу) требуется определить угрозу безопасности персональных данных (модель угроз), а также классифицировать информационную систему обработки персональных данных. Присвоение ей класса производится в соответствии с Порядком проведения классификации информационных систем персональных данных, утв. Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 N 55/86/20.

Целью выбора и реализации методов и способов защиты информации в информационной системе является нейтрализация предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором (уполномоченным лицом) системы защиты персональных данных.

Для выбора и реализации методов и способов защиты информации в информационной системе оператор или уполномоченное лицо может назначать структурное подразделение или должностное лицо (работника), ответственных за обеспечение безопасности персональных данных. Следует учитывать, что для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая лицензию на осуществление деятельности по технической защите конфиденциальной информации, оформленную в установленном порядке.

Обратите внимание на то, что на момент подготовки настоящего мониторинга указанный нормативный правовой акт не был официально опубликован.

Подробнее:

В ИАС "1С:Консалтинг. Стандарт" выпуск апрель 2010 г. см. справки подтемы "Общие вопросы защиты персональных данных" темы "Понятие и виды информации" рубрики "Информация" подраздела "Объекты интеллектуальной собственности. Информация"  раздела "Имущество. Права. Информация".