Требования ФСБ по защите информации

Закон о защите персональных данных предъявляет серьезные требования к сохранности информации, доверенной гражданами работодателям или поставщикам услуг. Комплекс организационных и технических мер, необходимых для этого, разрабатывается и утверждается государственными ведомствами, ФСБ России и ФСТЭК РФ. На долю первого ведомства приходится определение криптографических средств защиты информации.

Нормативно-правовое регулирование

Опираясь на нормы закона, ФСБ разработала и приняла приказ № 378 от 10.07.2014. Он обязателен для исполнения операторами персональных данных (ПД), которые работают с информацией, требующей использования техники шифрования.

Приказ состоит из следующих разделов:

• общие положения. Здесь определяется, на кого распространяются требования нормативного документа, и называются основы использования средств криптографической защиты;
• требования по организационным и техническим мерам, необходимым для информационных систем 4-го уровня защищенности. Это наименьший уровень безопасности, в ИС хранятся общедоступные ПД, актуальные угрозы незначительны;
• задачи по мерам, необходимым для ИС 3-го уровня защищенности. Для этих систем уровень угроз повышается;
• задачи по мерам, предлагаемых к внедрению в системах 2-го уровня защищенности. В этих системах обрабатываются биометрические данные;
• требования по мерам, необходимым для ИС 1-го уровня защищенности. Здесь обрабатываются специальные данные, например, медицинские.

Полномочия ФСБ РФ в сфере защиты информации в информационных системах

Для систем каждого уровня защиты информации определяется свой комплекс организационных и технических мер, класс программных и аппаратных средств, используемых для шифрования.

В рамках полномочий по регулированию информационного поля ведомство получило следующие функции:

• контролировать применение организационных мер защиты;
• допускать к эксплуатации средства криптографической защиты информации (СКЗИ);
• определять квалификацию сотрудников, допущенным к работе с СКЗИ.

В рамках контроля правильности работы операторов персональных данных ФСБ РФ проводит плановые и внеплановые проверки качества защиты информации. Плановые проводятся раз в три года, о них можно узнать на сайте Генеральной прокуратуры. Внеплановые назначаются в ситуации поступления сигнала, свидетельствующего о существенном нарушении прав граждан на защиту ПД.

В процессе контроля проверяются:

• наличие приказа о назначении лиц, ответственных за работу с СКЗИ;
• наличие модели угроз;
• наличие лицензий и документов на приобретение СКЗИ;
• акты установки программ и устройств СКЗИ и наличие дистрибутивов (установочных файлов, подтверждающих легальную инсталляцию программы);
• соблюдение правил физической защиты помещений.

Несоблюдение требований может привести к вынесению предписания об устранении нарушений и дальнейшему приостановлению работы оператора в случае его невыполнения. Несмотря на это, нарушения встречаются часто (неверно оформленная документация на СКЗИ, отсутствие дистрибутивов). Ведомство планирует ужесточить требования к операторам в сфере защиты информации и систему наказаний.

03.12.2019