Закон о защите персональных данных предъявляет серьезные требования к сохранности информации, доверенной гражданами работодателям или поставщикам услуг. Комплекс организационных и технических мер, необходимых для этого, разрабатывается и утверждается государственными ведомствами, ФСБ России и ФСТЭК РФ. На долю первого ведомства приходится определение криптографических средств защиты информации.
Нормативно-правовое регулирование
Опираясь на нормы закона, ФСБ разработала и приняла приказ № 378 от 10.07.2014. Он обязателен для исполнения операторами персональных данных (ПД), которые работают с информацией, требующей использования техники шифрования.
Приказ состоит из следующих разделов:
- общие положения. Здесь определяется, на кого распространяются требования нормативного документа, и называются основы использования средств криптографической защиты;
- требования по организационным и техническим мерам, необходимым для информационных систем 4-го уровня защищенности. Это наименьший уровень безопасности, в ИС хранятся общедоступные ПД, актуальные угрозы незначительны;
- задачи по мерам, необходимым для ИС 3-го уровня защищенности. Для этих систем уровень угроз повышается;
- задачи по мерам, предлагаемых к внедрению в системах 2-го уровня защищенности. В этих системах обрабатываются биометрические данные;
- требования по мерам, необходимым для ИС 1-го уровня защищенности. Здесь обрабатываются специальные данные, например, медицинские.
Полномочия ФСБ РФ в сфере защиты информации в информационных системах
Для систем каждого уровня защиты информации определяется свой комплекс организационных и технических мер, класс программных и аппаратных средств, используемых для шифрования.
В рамках полномочий по регулированию информационного поля ведомство получило следующие функции:
- контролировать применение организационных мер защиты;
- допускать к эксплуатации средства криптографической защиты информации (СКЗИ);
- определять квалификацию сотрудников, допущенным к работе с СКЗИ.
В рамках контроля правильности работы операторов персональных данных ФСБ РФ проводит плановые и внеплановые проверки качества защиты информации. Плановые проводятся раз в три года, о них можно узнать на сайте Генеральной прокуратуры. Внеплановые назначаются в ситуации поступления сигнала, свидетельствующего о существенном нарушении прав граждан на защиту ПД.
В процессе контроля проверяются:
- наличие приказа о назначении лиц, ответственных за работу с СКЗИ;
- наличие модели угроз;
- наличие лицензий и документов на приобретение СКЗИ;
- акты установки программ и устройств СКЗИ и наличие дистрибутивов (установочных файлов, подтверждающих легальную инсталляцию программы);
- соблюдение правил физической защиты помещений.
Несоблюдение требований может привести к вынесению предписания об устранении нарушений и дальнейшему приостановлению работы оператора в случае его невыполнения. Несмотря на это, нарушения встречаются часто (неверно оформленная документация на СКЗИ, отсутствие дистрибутивов). Ведомство планирует ужесточить требования к операторам в сфере защиты информации и систему наказаний.
03.12.2019