Информационное сообщение ФСТЭК России от 20.11.2012 № 240/24/4669 "Об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных"
Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 утверждены требования к защите персональных данных при их обработке в информационных системах персональных данных и установлены уровни защищенности персональных данных при их обработке в информационных системах персональных данных.
В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, ФСТЭК России завершается работа по подготовке проекта нормативного правового акта, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Проект указанного нормативного правового акта планируется до 7 декабря 2012 г. разместить на официальном сайте ФСТЭК России www.fstec.ru для рассмотрения заинтересованными лицами.
В целях обеспечения преемственности методов и способов по защите персональных данных при их обработке в информационных системах персональных данных, а также сертификации средств защиты информации, предназначенных для защиты персональных данных, до издания в установленном порядке нормативного правового акта ФСТЭК России, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, по поручению руководства ФСТЭК России полагаем целесообразным сообщить следующее:
1. Предполагается, что нормативный правовой акт ФСТЭК России, устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, будет применяться к информационным системам персональных данных, для которых решение о создании системы защиты информации будет принято после вступления в силу указанного нормативного правового акта.
2. Сертификаты соответствия, выданные ФСТЭК России до вступления в силу нормативного правового акта ФСТЭК России, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, переоформлению не подлежат.
При выборе средств защиты информации, на которые сертификаты соответствия ФСТЭК России были выданы до вступления в силу указанного нормативного правового акта, для защиты персональных данных считаем целесообразным руководствоваться следующим:
средства защиты информации, которые могут использоваться для защиты персональных данных, обрабатываемых в информационных системах персональных данных 1 класса, могут применяться для обеспечения защищенности персональных данных, обрабатываемых в информационных системах персональных данных, до 1 уровня включительно;
средства защиты информации, которые могут использоваться для защиты персональных данных, обрабатываемых в информационных системах персональных данных 2 класса*, могут применяться для обеспечения 4 уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных.
При обеспечении защищенности персональных данных, обрабатываемых в информационных системах персональных данных, могут применяться средства защиты информации, в сертификатах соответствия на которые не приведена информация о возможности их использования для защиты персональных данных. В этом случае функции безопасности указанных средств защиты информации должны обеспечивать соответствующие технические меры по обеспечению определенного уровня защищенности персональных данных, которые будут установлены нормативным правовым актом ФСТЭК России, определяющим состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
3. ФСТЭК России ведётся работа по подготовке нормативных правовых актов по внесению изменений в Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. № 638, и Требования к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. № 28.
Указанными нормативными правовыми актами планируется установить следующее:
для обеспечения 4 уровня защищенности персональных данных в информационных системах персональных данных будут применяться системы обнаружения вторжений и средства антивирусной защиты, соответствующие 6 классу защиты;
для обеспечения 3 уровня защищенности персональных данных в информационных системах персональных данных, в которых не определены в качестве актуальных угрозы 2-го типа и которые не подключены к информационно-телекоммуникационным сетям международного информационного обмена, будут применяться системы обнаружения вторжений и средства антивирусной защиты, соответствующие 5 классу защиты;
для обеспечения 1 или 2 уровня защищенности персональных данных в информационных системах персональных данных, а также 3 уровня защищенности персональных данных в информационных системах персональных данных, в которых определены в качестве актуальных угрозы 2-го типа или которые подключены к информационно-телекоммуникационным сетям международного информационного обмена, будут применяться системы обнаружения вторжений и средства антивирусной защиты, соответствующие 4 классу защиты.
Начальник 2 управления
ФСТЭК России
А.Куц