Требования ФСБ по защите информации

ИБ-аутсорсинг
на базе DLP-системы

СёрчИнформ КИБ
30 дней для тестирования ИБ-аутсорсинга ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Закон о защите персональных данных предъявляет серьезные требования к сохранности информации, доверенной гражданами работодателям или поставщикам услуг. Комплекс организационных и технических мер, необходимых для этого, разрабатывается и утверждается государственными ведомствами, ФСБ России и ФСТЭК РФ. На долю первого ведомства приходится определение криптографических средств защиты информации.

Нормативно-правовое регулирование

Опираясь на нормы закона, ФСБ разработала и приняла приказ № 378 от 10.07.2014. Он обязателен для исполнения операторами персональных данных (ПД), которые работают с информацией, требующей использования техники шифрования.

Приказ состоит из следующих разделов:

  • общие положения. Здесь определяется, на кого распространяются требования нормативного документа, и называются основы использования средств криптографической защиты;
  • требования по организационным и техническим мерам, необходимым для информационных систем 4-го уровня защищенности. Это наименьший уровень безопасности, в ИС хранятся общедоступные ПД, актуальные угрозы незначительны;
  • задачи по мерам, необходимым для ИС 3-го уровня защищенности. Для этих систем уровень угроз повышается;
  • задачи по мерам, предлагаемых к внедрению в системах 2-го уровня защищенности. В этих системах обрабатываются биометрические данные;
  • требования по мерам, необходимым для ИС 1-го уровня защищенности. Здесь обрабатываются специальные данные, например, медицинские.

Полномочия ФСБ РФ в сфере защиты информации в информационных системах

Для систем каждого уровня защиты информации определяется свой комплекс организационных и технических мер, класс программных и аппаратных средств, используемых для шифрования.

В рамках полномочий по регулированию информационного поля ведомство получило следующие функции:

  • контролировать применение организационных мер защиты;
  • допускать к эксплуатации средства криптографической защиты информации (СКЗИ);
  • определять квалификацию сотрудников, допущенным к работе с СКЗИ.

В рамках контроля правильности работы операторов персональных данных ФСБ РФ проводит плановые и внеплановые проверки качества защиты информации. Плановые проводятся раз в три года, о них можно узнать на сайте Генеральной прокуратуры. Внеплановые назначаются в ситуации поступления сигнала, свидетельствующего о существенном нарушении прав граждан на защиту ПД.

В процессе контроля проверяются:

  • наличие приказа о назначении лиц, ответственных за работу с СКЗИ;
  • наличие модели угроз;
  • наличие лицензий и документов на приобретение СКЗИ;
  • акты установки программ и устройств СКЗИ и наличие дистрибутивов (установочных файлов, подтверждающих легальную инсталляцию программы);
  • соблюдение правил физической защиты помещений.

Несоблюдение требований может привести к вынесению предписания об устранении нарушений и дальнейшему приостановлению работы оператора в случае его невыполнения. Несмотря на это, нарушения встречаются часто (неверно оформленная документация на СКЗИ, отсутствие дистрибутивов). Ведомство планирует ужесточить требования к операторам в сфере защиты информации и систему наказаний.

 

03.12.2019

 

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними