Информационное сообщение Федеральной службы по техническому и экспортному контролю от 20 ноября 2012 г. № 240/24/4669 "Об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных"

Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 утверждены требования к защите персональных данных при их обработке в информационных системах персональных данных и установлены уровни защищенности персональных данных при их обработке в информационных системах персональных данных.

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, ФСТЭК России завершается работа по подготовке проекта нормативного правового акта, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Проект указанного нормативного правового акта планируется до 7 декабря 2012 г. разместить на официальном сайте ФСТЭК России www.fstec.ru для рассмотрения заинтересованными лицами.

В целях обеспечения преемственности методов и способов по защите персональных данных при их обработке в информационных системах персональных данных, а также сертификации средств защиты информации, предназначенных для защиты персональных данных, до издания в установленном порядке нормативного правового акта ФСТЭК России, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, по поручению руководства ФСТЭК России полагаем целесообразным сообщить следующее:

1. Предполагается, что нормативный правовой акт ФСТЭК России, устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, будет применяться к информационным системам персональных данных, для которых решение о создании системы защиты информации будет принято после вступления в силу указанного нормативного правового акта.

2. Сертификаты соответствия, выданные ФСТЭК России до вступления в силу нормативного правового акта ФСТЭК России, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, переоформлению не подлежат.

При выборе средств защиты информации, на которые сертификаты соответствия ФСТЭК России были выданы до вступления в силу указанного нормативного правового акта, для защиты персональных данных считаем целесообразным руководствоваться следующим:

средства защиты информации, которые могут использоваться для защиты персональных данных, обрабатываемых в информационных системах персональных данных 1 класса*, могут применяться для обеспечения защищенности персональных данных, обрабатываемых в информационных системах персональных данных, до 1 уровня включительно;

средства защиты информации, которые могут использоваться для защиты персональных данных, обрабатываемых в информационных системах персональных данных 2 класса*, могут применяться для обеспечения 4 уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных.

При обеспечении защищенности персональных данных, обрабатываемых в информационных системах персональных данных, могут применяться средства защиты информации, в сертификатах соответствия на которые не приведена информация о возможности их использования для защиты персональных данных. В этом случае функции безопасности указанных средств защиты информации должны обеспечивать соответствующие технические меры по обеспечению определенного уровня защищенности персональных данных, которые будут установлены нормативным правовым актом ФСТЭК России, определяющим состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

3. ФСТЭК России ведётся работа по подготовке нормативных правовых актов по внесению изменений в Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. № 638, и Требования к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от  20 марта 2012 г. № 28.

Указанными нормативными правовыми актами планируется установить следующее:

для обеспечения 4 уровня защищенности персональных данных в информационных системах персональных данных будут применяться системы обнаружения вторжений и средства антивирусной защиты, соответствующие 6 классу защиты;

для обеспечения 3 уровня защищенности персональных данных в информационных системах персональных данных, в которых не определены в качестве актуальных угрозы 2-го типа и которые не подключены к информационно-телекоммуникационным сетям международного информационного обмена, будут применяться системы обнаружения вторжений и средства антивирусной защиты, соответствующие 5 классу защиты;

для обеспечения 1 или 2 уровня защищенности персональных данных в информационных системах персональных данных, а также 3 уровня защищенности персональных данных в информационных системах персональных данных, в которых определены в качестве актуальных угрозы 2-го типа или которые подключены к информационно-телекоммуникационным сетям международного информационного обмена, будут применяться системы обнаружения вторжений и средства антивирусной защиты, соответствующие 4 классу защиты.

------------------------------

* Установлен в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 г., регистрационный № 11462).