Перейти к содержанию

Обоснование необходимости защиты данных по ФСТЭК⚓︎

Выход документа в 2013 году был одобрен операторами персональных данных. До конкретизации требуемых мер операторы существовали в условиях неопределенности, не зная, насколько применяемые ими технические меры и средства защиты соответствуют предъявляемым требованиям. Документ полностью соответствовал требованиям момента и учитывал такие изменения в информационной среде, связанные с появлением новых технических средств, как:

  • Виртуализация персональных данных
  • Облачное хранение
  • Мобильные платформы

Но приказу были свойственны и недостатки. Он не требовал потратить определенные средства на защиту персональных данных в обязательном порядке, допуская выбор из существующего перечня, но некоторые нормы сообществом операторов были сочтены избыточными. Приказ ФСТЭК РФ ввел 15 групп технических и организационных мер по защите персональных данных, в каждой из групп указано от 2 до 20 отдельных решений. Для каждой меры устанавливалось, является ли она базовой или обязательной для применения или компенсирующей, необязательной, однако усиливающей уровень защиты. Существуют только компенсирующие меры, которые не будут базовыми ни для одного из четырех уровней защищенности.

Сейчас действует приказ № 21, вступивший в силу в 2013 году, определяющий технические и организационные меры по защите персональных данных. Он неоднократно дополнялся и изменялся, ориентируясь на требования момента. Последняя редакция была принята в 2017 году. В структуре документа, в приложении, определяющем состав мер, содержатся рекомендации, регулирующие:

  • Идентификацию и аутентификацию лиц, которых операторы допускают к обработке персональных данных
  • Управление системой доступа к ним
  • Программную среду и ее ограничения
  • Физическую защиту компьютеров, содержащих информацию, относящуюся к персональным данным
  • Порядок регистрации инцидентов безопасности
  • Порядок организации антивирусной защиты
  • Способы фиксации проникновения в защищенный информационный периметр
  • Контроль защищенности персональных данных
  • Защиту технических средств

Выбор мер организационной и технической защиты персональных данных зависит от класса защищенности информационной системы, определяемого по правилам, установленным Постановлением Правительства № 1119.

Далее выдержка из постановления правительства

Необходимость обеспечения 1-го уровня защищенности⚓︎

Персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

  • Для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных
  • Для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора

Необходимость обеспечения 2-го уровня защищенности⚓︎

Персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

  • Для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные
  • Для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора
  • Для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные
  • Для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора
  • Для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора
  • Для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора

Необходимость обеспечения 3-го уровня защищенности⚓︎

Персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

  • Для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора
  • Для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора
  • Для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора
  • Для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные
  • Для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора

Необходимость обеспечения 4-го уровня защищенности⚓︎

Персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

  • Для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные
  • Для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора

Для обеспечения 1-го уровня защищенности⚓︎

Персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 настоящего документа, необходимо выполнение следующих требований:

  • Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе
  • Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности

Для обеспечения 2-го уровня защищенности⚓︎

Персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей

Для обеспечения 3-го уровня защищенности⚓︎

Персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе

Для обеспечения 4-го уровня защищенности⚓︎

Персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

  • Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
  • Обеспечение сохранности носителей персональных данных
  • Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных ( трудовых) обязанностей
  • Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз
Последнее обновление: 2022-01-15
Созданный: 2022-01-15