Приказ фстэк россии от 02. 2010 n 58 зарегистрирован в Минюсте России 19. 02. 2010 №16456




Скачать 284.5 Kb.
НазваниеПриказ фстэк россии от 02. 2010 n 58 зарегистрирован в Минюсте России 19. 02. 2010 №16456
страница1/4
Дата публикации22.06.2013
Размер284.5 Kb.
ТипДокументы
vbibl.ru > Информатика > Документы
  1   2   3   4


Об утверждении положения о методах и способах защиты информации
в информационных системах персональных данных


Приказ ФСТЭК России от 5.02.2010 N 58 зарегистрирован в Минюсте России 19.02.2010 № 16456

В соответствии с пунктом 3 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 (Собрание законодательства Российской Федерации, 2007, № 48, ст. 6001), ПРИКАЗЫВАЮ:

Утвердить прилагаемое Положение о методах и способах защиты информации в информационных системах персональных данных.

^ ДИРЕКТОР ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

С.ГРИГОРОВ

Приложение к
приказу ФСТЭК России
от 5 февраля 2010 г. № 58
^ Положение
о методах и способах защиты информации в информационных системах персональных данных


I. Общие положения

1.1. Настоящее Положение разработано в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 (Собрание законодательства Российской Федерации, 2007, № 48, ст. 6001), и устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), или лицом, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). В настоящем Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.

1.2. К методам и способам защиты информации в информационных системах относятся:
- методы и способы защиты информации, обрабатываемой техническими средствами информационной системы, от несанкционированного, в том числе, случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее -методы и способы защиты информации от несанкционированного доступа);
- методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от утечки по техническим каналам).

1.3. Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 г., регистрационный № 11462). Модель угроз разрабатывается на основе методических документов, утвержденных в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781.

1.5. Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором (уполномоченным лицом) системы защиты персональных данных.

^ II. Методы и способы защиты информации от несанкционированного доступа

2.1. Методами и способами защиты информации от несанкционированного доступа являются:
- реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
- ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также, хранятся носители информации;
- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
- регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
- учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
- резервирование технических средств, дублирование массивов и носителей информации;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- использование защищенных каналов связи;
- размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
- организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

2.2. В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учёта, обеспечения целостности, анализа защищённости, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений. Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учёта, обеспечения целостности, анализа защищённости, обеспечения безопасного межсетевого взаимодействия в зависимости от класса информационной системы определяются оператором (уполномоченным лицом) в соответствии с приложением к настоящему Положению.

2.3. В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты.

2.4. При взаимодействии информационных систем с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными в пункте 2.1 настоящего Положения, основными методами и способами защиты информации от несанкционированного доступа являются:
- межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
- обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
- анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
- защита информации при ее передаче по каналам связи;
- использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
- использование средств антивирусной защиты;
- централизованное управление системой защиты персональных данных информационной системы.

2.5. Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно-телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с Указом Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» (Собрание законодательства Российской Федерации, 2008, № 12, ст.1110; №43, ст. 4919).

2.6. Для обеспечения безопасности персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) с целью получения общедоступной информации помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
- фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);
- периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;
- активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
- анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов. Для реализации указанных методов и способов защиты информации могут применяться межсетевые экраны, системы обнаружения вторжений, средства анализа защищенности, специализированные комплексы защиты и анализа защищенности, информации.

2.7. Для обеспечения безопасности персональных данных при удаленном доступе к информационной системе через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
- проверка подлинности отправителя (удаленного пользователя) и целостности передаваемых по информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) данных;
- управление доступом к защищаемым персональным данным информационной сети;
- использование атрибутов безопасности.

2.8. Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
- создание канала связи, обеспечивающего защиту передаваемой информации;
- осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.

2.9. Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем разных операторов через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
- создание канала связи, обеспечивающего защиту передаваемой информации;
- аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;
- обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;
- обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя.

2.10. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.

2.11. Подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов.

2.12. Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей. Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).

2.13. В зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных.
  1   2   3   4

Добавить документ в свой блог или на сайт

Похожие:

Приказ фстэк россии от 02. 2010 n 58 зарегистрирован в Минюсте России 19. 02. 2010 №16456 iconПриказ фнс россии от 06. 12. 11 № ммв-7-3/909@ (зарегистрирован в...
Приказ фнс россии от 06. 12. 11 № ммв-7-3/909@ (зарегистрирован в Минюсте России 20 декабря 2011 года)

Приказ фстэк россии от 02. 2010 n 58 зарегистрирован в Минюсте России 19. 02. 2010 №16456 iconПоложение о проведении областных спортивных соревнований школьников...
Всероссийских спортивных соревнований школьников «Президентские состязания» (далее Президентские состязания), утвержденным приказом...

Приказ фстэк россии от 02. 2010 n 58 зарегистрирован в Минюсте России 19. 02. 2010 №16456 iconКомментарий
Минздравсоцразвития России от 26 августа 2010 года №761н (зарегистрирован Минюстом России 6 октября 2010 года, регистрационный №18638),...

Приказ фстэк россии от 02. 2010 n 58 зарегистрирован в Минюсте России 19. 02. 2010 №16456 iconПриказ фтс РФ от 25 апреля 2007 года n 536 Об утверждении Перечня...
Приказ гтк россии от 12 ноября 2003 г n 1275 "О внесении изменений и дополнений в приказ гтк россии от 16. 09. 2003 n 1022" (зарегистрирован...

Приказ фстэк россии от 02. 2010 n 58 зарегистрирован в Минюсте России 19. 02. 2010 №16456 iconГ. №673 (Зарег в Минюсте России 15. 01. 2010 г. №15975)

Приказ фстэк россии от 02. 2010 n 58 зарегистрирован в Минюсте России 19. 02. 2010 №16456 iconПриказ 16. 12. 2010 №2965
Российская газета, 2009, №55) (с изменениями, внесенными приказом Министерства образования и науки Российской Федерации от 9 марта...

Приказ фстэк россии от 02. 2010 n 58 зарегистрирован в Минюсте России 19. 02. 2010 №16456 iconПриказ Минобрнауки России от 19 ноября 2009 г. N 642 (. pdf, 413...
Право и организация социального обеспечения Приказ Минобрнауки России от 13 июля 2010 г. N 770 (. pdf, 3,17 Мб)

Приказ фстэк россии от 02. 2010 n 58 зарегистрирован в Минюсте России 19. 02. 2010 №16456 iconО методике оценки уровня квалификации педагогических работников
Министерства образования и науки Российской Федерации от 24 марта 2010 года n 209 "О порядке аттестации педагогических работников...

Приказ фстэк россии от 02. 2010 n 58 зарегистрирован в Минюсте России 19. 02. 2010 №16456 iconПриказ от 30 декабря 2009 г. N 624 об утверждении перечня видов работ...
Зарегистрировано в Минюсте РФ 15 апреля 2010 г. N 16902. Опубликовано 26 апреля 2010 г

Приказ фстэк россии от 02. 2010 n 58 зарегистрирован в Минюсте России 19. 02. 2010 №16456 iconЗарегистрирован в Минюсте РФ 14 ноября 2011 г. Регистрационный n 22303
Положения о Министерстве образования и науки Российской Федерации, утвержденного постановлением Правительства Российской Федерации...

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
vbibl.ru
Главная страница