ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

ПО ВОПРОСАМ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ ОТ 11 ФЕВРАЛЯ 2013 Г. N 17 «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ» И ПРИКАЗА ФСТЭК РОССИИ ОТ 18 ФЕВРАЛЯ 2013 Г. N 21 «ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ»

от 15 июля 2013 г. N 240/22/2637

В соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и законодательством о персональных данных Федеральной службой по техническому и экспортному контролю (ФСТЭК России) в пределах своих полномочий утверждены Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (приказ ФСТЭК России от 11 февраля 2013 г. N 17, зарегистрирован Минюстом России 31 мая 2013 г., рег. N 28608) и Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (приказ ФСТЭК России от 18 февраля 2013 г. N 21, зарегистрирован Минюстом России 14 мая 2013 г., рег. N 28375).

В связи с изданием указанных нормативных правовых актов в адрес ФСТЭК России поступают обращения о разъяснении отдельных положений Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21. Данный вопрос обсуждается специалистами в области защиты информации на различных форумах и электронных площадках в сети Интернет.

Учитывая характер наиболее часто обсуждаемых вопросов и в целях разъяснения отдельных положений указанных приказов ФСТЭК России, считаем целесообразным сообщить следующее.

1. По вопросу вступления в действие Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, а также необходимости проведения повторной аттестации (оценки эффективности) информационных систем аттестованных (прошедших оценку эффективности) до вступления в действие указанных приказов ФСТЭК России.

В соответствии с пунктом 12 Указа Президента Российской Федерации от 23 мая 1996 г. N 763 «О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти» нормативные правовые акты федеральных органов исполнительной власти вступают в силу одновременно на всей территории Российской Федерации по истечении десяти дней после их официального опубликования, если самими актами не установлен другой порядок введения их в действие.

Таким образом, Состав и содержание мер, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, вступили в действие со 2 июня 2013 г. Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, вступают в действие с 1 сентября 2013 г.

Исходя из общих принципов норм права по действию во времени, изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления актов в силу (если иное не установлено федеральными законами).

Учитывая изложенное, информационные системы, аттестованные (прошедшие оценку эффективности) по требованиям защиты информации до вступления в действие Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, повторной аттестации (оценке эффективности) в связи с изданием указанных нормативных правовых актов не подлежат.

2. По вопросу требований, которыми необходимо руководствоваться для обеспечения безопасности персональных данных при их обработке в государственных информационных системах, а также определения класса защищенности государственной информационной системы, в которой обрабатываются персональные данные.

В соответствии с пунктом 7 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий в соответствии с частью 5 статьи 6 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Указанные требования утверждены приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Учитывая, что меры по обеспечению безопасности персональных данных и порядок их выбора, установленные Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, аналогичны мерам защиты информации и порядку их выбора, установленным Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, для обеспечения безопасности персональных данных, обрабатываемых в государственных информационных системах, достаточно руководствоваться только Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Вместе с тем, в соответствии с пунктом 5 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, при обработке в государственной информационной системе информации, содержащей персональные данные, требования о защите информации, не составляющей государственную тайну, в государственных информационных системах применяются наряду с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

Таким образом, для обеспечения безопасности персональных данных при их обработке в государственных информационных системах в дополнение к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, необходимо руководствоваться требованиями (в том числе в части определения уровня защищенности персональных данных), установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119. При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.

3. По вопросу о форме оценки эффективности принимаемых мер по обеспечению безопасности персональных данных, о форме и содержании материалов оценки эффективности, а также о возможности проведения оценки эффективности при проведении аттестации информационной системы.

В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.

Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.

Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».

В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

4. По вопросу о применении Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, в отношении муниципальных информационных систем.

В соответствии с частью 4 статьи 13 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» требования к государственным информационным системам, установленные указанным Федеральным законом, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении.

Таким образом, Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении (в частности, Федеральным законом от 6 октября 2003 г. N 131-ФЗ «Об общих принципах местного самоуправления в Российской Федерации» и принятыми в соответствии с ним иными нормативными правовыми актами Российской Федерации).

5. По вопросу применения «Специальных требований и рекомендаций по технической защите конфиденциальной информации» с учетом издания приказа ФСТЭК России от 11 февраля 2013 г. N 17.

Издание приказа ФСТЭК России от 11 февраля 2013 г. N 17 не отменяет действие методических документов «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее – СТР-К) и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования о защите информации» (далее – РД АС).

СТР-К применяется в качестве методического документа при реализации мер по защите технических средств государственных информационных систем (ЗТС.1), выбранных в соответствии с пунктом 21 и приложением N 2 к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, в целях нейтрализации угроз безопасности информации, связанных с защитой информации, представленной в виде информативных электрических сигналов и физических полей (защита от утечки по техническим каналам).

Иные положения СТР-К (раздел 3 «Организация работ по защите конфиденциальной информации», раздел 5 «Требования и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных системах») могут применяться по решению обладателей информации, заказчиков и операторов государственных информационных систем в части, не противоречащей Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Кроме того, положения СТР-К и РД АС применяются по решению обладателя информации (заказчиков, операторов информационных систем) для защиты информации, содержащей сведения конфиденциального характера (Указ Президента Российской Федерации от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера»), обрабатываемой в информационных системах, которые в соответствии с Федеральным законом от
27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» не отнесены к государственным информационным системам.

6. По вопросу применения понятий «информационная система» и «автоматизированная система».

В Требованиях, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Составе и содержании мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, используется понятие «информационная система», установленное Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». При этом понятие «государственная информационная система», цели и порядок ее создания, а также порядок эксплуатации установлены статьями 13 и 14 указанного Федерального закона.

В иных методических документах и национальных стандартах в области защиты информации используется понятие «автоматизированная система», определенное национальным стандартом ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».

Учитывая, что Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состав и содержание мер, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, разрабатывались во исполнение федеральных законов от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 27 июля 2006 г. N 152-ФЗ «О персональных данных» соответственно, в которых используется понятие «информационная система», в нормативных правовых актах ФСТЭК России также использовано указанное понятие.

Исходя из родственных определений понятия «информационная система», установленного Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», и понятия «автоматизированная система», установленного национальным стандартом ГОСТ 34.003-90, а также из содержания Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, использование в нормативных правовых актах ФСТЭК России понятия «информационная система» не влияет на конечную цель защиты информации.

7. По вопросу отражения в сертификатах соответствия на средства защиты информации результатов их проверки на отсутствие недекларированных возможностей, а также отражения в конструкторской и эксплуатационной документации возможности применения средств защиты информации в государственных информационных системах и информационных системах персональных данных.

В соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, в государственных информационных системах 1 и 2 классов защищенности, а также для обеспечения 1, 2 уровней защищенности и 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. При этом выбор классов защиты сертифицированных средств защиты информации в зависимости от класса защищенности государственных информационных систем и уровня защищенности персональных данных осуществляется в соответствии с пунктом 26 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и пунктом 12 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, соответственно.

Отмечаем, что требования по безопасности информации к средствам защиты информации, утвержденные ФСТЭК России в пределах своих полномочий начиная с декабря 2011 г., включают требования по соответствующему уровню контроля отсутствия недекларированных возможностей для классов защиты этих средств.

В частности, системы обнаружения вторжений и средства антивирусной защиты, сертифицированные на соответствие Требованиям к системам обнаружения вторжений, утвержденным приказом ФСТЭК России от 6 декабря 2011 г. N 638, и Требованиям к средствам антивирусной защиты, утвержденным приказом ФСТЭК России от 20 марта 2012 г. N 28, по 4 классу защиты соответствуют 4 уровню контроля отсутствия недекларированных возможностей.

При использовании в государственных информационных системах соответствующего класса защищенности и для обеспечения установленного уровня защищенности персональных данных средств защиты информации, сертифицированных на соответствие требованиям безопасности информации, установленным в технических условиях (заданиях по безопасности) и (или) иных нормативных документах ФСТЭК России, соответствие уровню контроля отсутствия недекларированных возможностей указывается в сертификатах соответствия требованиям по безопасности информации на эти средства защиты информации.

Возможность применения в государственных информационных системах соответствующего класса защищенности и для обеспечения установленного уровня защищенности персональных данных средств защиты информации, сертифицированных на соответствие требованиям безопасности информации, установленным в технических условиях (заданиях по безопасности), указывается заявителем (разработчиком, производителем) в эксплуатационной и конструкторской документации на эти средства (формулярах и технических условиях).

8. По вопросу применения дополнительных мер защиты информации, направленных на нейтрализацию актуальных угроз безопасности персональных данных 1-го и 2-го типов.

В соответствии с пунктом 11 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, в целях снижения вероятности возникновения угроз безопасности персональных данных 1-го и 2-го типов могут применяться дополнительные меры, связанные с тестированием информационной системы на проникновения и использованием в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.

Указанные меры применяются для обеспечения безопасности персональных данных по решению оператора. При этом до разработки и утверждения ФСТЭК России методических документов по реализации указанных мер порядок их применения, а также форма и содержание документов определяются оператором самостоятельно.

9. По вопросу разработки методических документов ФСТЭК России в целях реализации Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Приказ ФСТЭК России от 18 февраля 2013 г. N 21 издан во исполнение части 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Указанным Федеральным законом разработка ФСТЭК России иных документов по обеспечению безопасности персональных данных, в том числе по моделированию угроз безопасности персональных данных, не предусмотрена. Определение типов угроз безопасности персональных данных осуществляется оператором в соответствии с пунктом 7 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

Одновременно в рамках полномочий по методическому руководству в области технической защиты информации, а также в целях реализации пунктов 14.3 и 21 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, в настоящее время в ФСТЭК России завершается разработка методических документов по описанию содержания мер защиты информации в информационных системах и порядку моделирования угроз безопасности информации в информационных системах. Ориентировочный срок утверждения документов – IVквартал 2013 г.

Кроме того, планируется разработка методических документов, определяющих порядок обновления программного обеспечения в аттестованных информационных системах, порядок выявления и устранения уязвимостей в информационных системах, порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации, а также ряда других методических документов, направленных на реализацию Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Одновременно сообщаем, что ФСТЭК России не наделена полномочиями по разъяснению Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, в том числе в части определения типов угроз персональных данных и порядка определения уровней защищенности персональных данных.

Начальник 2 управления

ФСТЭК России

В соответствии с рекомендациями Международной организации по стандартизации (МОС) в дополнение к модели взаимосвязи открытых систем (ВОС) предложен проект создание сервисных служб защиты, функции которых реализуются при помощи специальных процедур. При этом определены восемь процедур защиты, совместное использование которых позволяет организовывать 14 служб. Взаимосвязь служб (функций) и процедур (средств) представлена в табл. 4.1. При этом цифрами в таблице обозначены номера логических уровней эталонной модели ВОС, на которых реализуются данные процедуры с целью образования служб обеспечения безопасности. Однако, учитывая некоторую некорректность применяемых в наименований в виде “служб” и “процедур”, заменим их соответственно на “функция” и “средство”.

	Номер функции	Средство защиты	Логические уровни
Аутентификация: одноуровневых объектов источника данных		Шифрование Цифровая подпись Обеспечение аутентификации Шифрование Цифровая подпись
Контроль доступа		Управление доступом
Засекречивание: соединения в режиме без соединения выборочных полей потока данных		Шифрование Управление маршрутом Шифрование Управление маршрутом Шифрование Шифрование Заполнение потока Управление маршрутом
Обеспечение целостности: соединения восстановлением соединения без восстановления выборочных полей данных без установления соединения данных выборочных полей без соединения		Шифрование, обеспечение целостности данных Шифрование, обеспечение целостности данных Шифрование, обеспечение целостности данных Шифрование Цифровая подпись Шифрование Цифровая подпись Обеспечение целостности данных
Информирование: об отправке о доставке		Цифровая подпись, обеспечение целостности данных, подтверждение характеристик данных

Шифрование данных предназначено для закрытия все данных абонента или некоторых полей сообщения, может иметь два уровня: шифрование в канале связи (линейное) и межконцевое (абонентское) шифрование. В первом случае, чтобы предотвратить возможность анализа трафика, шифруется вся информация, передаваемая в канал связи, включая все сетевые заголовки. Абонентское шифрование предназначено для предотвращения раскрытия только данных абонента.

Цифровая подпись передаваемых сообщений служит для подтверждения правильности содержания сообщения. Она удостоверяет факт его отправления именно тем абонентом, который указан в заголовке в качестве источника данных. Цифровая подпись является функцией о содержании секретного сообщения, известного только абоненту-источнику, и общей информации, известной всем абонентам сети.

Управление доступом к ресурсам сети выполняется на основании множества правил и формальных моделей, использующих в качестве аргумента доступа информацию о ресурсах (классификацию) и идентификаторы абонентов. Служебная информация для управления доступом (пароли абонентов, списки разрешенных операций, персональные идентификаторы, временные ограничители и т.д.) содержится в локальных базах данных службы обеспечения безопасности сети.

Обеспечение целостности данных предполагает введение в каждое сообщение некоторой дополнительной информации, которая является функцией от содержания сообщения. В рекомендациях МОС рассматриваются методы обеспечения целостности двух типов: первые обеспечивают целостность единственного блока данных, вторые – целостность потока блоков данных или отдельных полей этих блоков. При этом обеспечение целостности потока блоков данных не имеет смысла без обеспечения целостности отдельных блоков. Эти методы применяются в двух режимах – при передаче данных по виртуальному соединению и при использовании дейтаграммной передачи. В первом случае обнаруживаются неупорядоченность, потери, повторы, вставки данных при помощи специальной нумерации блоков или введением меток времени. В дейтаграммном режиме метки времени могут обеспечить только ограниченную защиту целостности последовательности блоков данных и предотвратить переадресацию отдельных блоков.

Процедуры аутентификации предназначены для зашиты при передаче в сети паролей, аутентификаторов логических объектов и т.д. Для этого используются криптографические методы и протоколы, основанные, например, на процедуре "троекратного рукопожатия". Целью таких протоколов является защита от установления соединения с логическим объектом, образованным нарушителем или действующим под его управлением с целью имитации работы подлинного объекта.

Процедура заполнения потока служит для предотвращения возможности анализа графика. Эффективность применения этой процедуры повышается, если одновременно с ней предусмотрено линейное шифрование всего потока данных, т.е. потоки информации и заполнения делаются неразличимыми.

Управление маршрутом предназначено для организации передачи данных только по маршрутам, образованным с помощью надежных и безопасных технических устройств и систем. При этом может быть организован контроль со стороны получателя, который в случае возникновения подозрения о компрометации используемой системы защиты может потребовать изменения маршрута следования данных.

Процедура подтверждения характеристик, данных предполагает наличие арбитра, который является доверенным лицом взаимодействующих абонентов и может подтвердить целостность, время передачи сообщения, а также предотвратить возможность отказа источника от выдачи какого-либо сообщения, а потребителя – от его приема.

Данные рекомендации безусловно требуют более детальной проработки на предмет их реализации в существующих протоколах. С позиций предлагаемой в данном пособии концепции защиты (раздел 3) можно заметить некоторую избыточность защитных функций, например аутентификации, которая является неотъемлемой частью функции контроля доступа и, следовательно, автоматически в нее входит. Для сокращения количества средств защиты целесообразно взять за основу средства защиты на 7-м уровне и дополнить их средствами на остальных уровнях, но только теми, которые выполнят защитные функции, не охваченные средствами защиты на 7-м уровне.

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

ПО ВОПРОСАМ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ ОТ 11 ФЕВРАЛЯ 2013 Г. N 17 «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ» И ПРИКАЗА ФСТЭК РОССИИ ОТ 18 ФЕВРАЛЯ 2013 Г. N 21 «ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ»

от 15 июля 2013 г. N 240/22/2637

В соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и законодательством о персональных данных Федеральной службой по техническому и экспортному контролю (ФСТЭК России) в пределах своих полномочий утверждены Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (приказ ФСТЭК России от 11 февраля 2013 г. N 17, зарегистрирован Минюстом России 31 мая 2013 г., рег. N 28608) и Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (приказ ФСТЭК России от 18 февраля 2013 г. N 21, зарегистрирован Минюстом России 14 мая 2013 г., рег. N 28375).

В связи с изданием указанных нормативных правовых актов в адрес ФСТЭК России поступают обращения о разъяснении отдельных положений Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21. Данный вопрос обсуждается специалистами в области защиты информации на различных форумах и электронных площадках в сети Интернет.

Учитывая характер наиболее часто обсуждаемых вопросов и в целях разъяснения отдельных положений указанных приказов ФСТЭК России, считаем целесообразным сообщить следующее.

1. По вопросу вступления в действие Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, а также необходимости проведения повторной аттестации (оценки эффективности) информационных систем аттестованных (прошедших оценку эффективности) до вступления в действие указанных приказов ФСТЭК России.

В соответствии с пунктом 12 Указа Президента Российской Федерации от 23 мая 1996 г. N 763 «О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти» нормативные правовые акты федеральных органов исполнительной власти вступают в силу одновременно на всей территории Российской Федерации по истечении десяти дней после их официального опубликования, если самими актами не установлен другой порядок введения их в действие.

Таким образом, Состав и содержание мер, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, вступили в действие со 2 июня 2013 г. Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, вступают в действие с 1 сентября 2013 г.

Исходя из общих принципов норм права по действию во времени, изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления актов в силу (если иное не установлено федеральными законами).

Учитывая изложенное, информационные системы, аттестованные (прошедшие оценку эффективности) по требованиям защиты информации до вступления в действие Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, повторной аттестации (оценке эффективности) в связи с изданием указанных нормативных правовых актов не подлежат.

2. По вопросу требований, которыми необходимо руководствоваться для обеспечения безопасности персональных данных при их обработке в государственных информационных системах, а также определения класса защищенности государственной информационной системы, в которой обрабатываются персональные данные.

В соответствии с пунктом 7 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий в соответствии с частью 5 статьи 6 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Указанные требования утверждены приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Учитывая, что меры по обеспечению безопасности персональных данных и порядок их выбора, установленные Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, аналогичны мерам защиты информации и порядку их выбора, установленным Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, для обеспечения безопасности персональных данных, обрабатываемых в государственных информационных системах, достаточно руководствоваться только Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Вместе с тем, в соответствии с пунктом 5 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, при обработке в государственной информационной системе информации, содержащей персональные данные, требования о защите информации, не составляющей государственную тайну, в государственных информационных системах применяются наряду с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

Таким образом, для обеспечения безопасности персональных данных при их обработке в государственных информационных системах в дополнение к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, необходимо руководствоваться требованиями (в том числе в части определения уровня защищенности персональных данных), установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119. При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.

3. По вопросу о форме оценки эффективности принимаемых мер по обеспечению безопасности персональных данных, о форме и содержании материалов оценки эффективности, а также о возможности проведения оценки эффективности при проведении аттестации информационной системы.

В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.

Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.

Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».

В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

4. По вопросу о применении Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, в отношении муниципальных информационных систем.

В соответствии с частью 4 статьи 13 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» требования к государственным информационным системам, установленные указанным Федеральным законом, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении.

Таким образом, Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении (в частности, Федеральным законом от 6 октября 2003 г. N 131-ФЗ «Об общих принципах местного самоуправления в Российской Федерации» и принятыми в соответствии с ним иными нормативными правовыми актами Российской Федерации).

5. По вопросу применения «Специальных требований и рекомендаций по технической защите конфиденциальной информации» с учетом издания приказа ФСТЭК России от 11 февраля 2013 г. N 17.

Издание приказа ФСТЭК России от 11 февраля 2013 г. N 17 не отменяет действие методических документов «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее – СТР-К) и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования о защите информации» (далее – РД АС).

СТР-К применяется в качестве методического документа при реализации мер по защите технических средств государственных информационных систем (ЗТС.1), выбранных в соответствии с пунктом 21 и приложением N 2 к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, в целях нейтрализации угроз безопасности информации, связанных с защитой информации, представленной в виде информативных электрических сигналов и физических полей (защита от утечки по техническим каналам).

Иные положения СТР-К (раздел 3 «Организация работ по защите конфиденциальной информации», раздел 5 «Требования и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных системах») могут применяться по решению обладателей информации, заказчиков и операторов государственных информационных систем в части, не противоречащей Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Кроме того, положения СТР-К и РД АС применяются по решению обладателя информации (заказчиков, операторов информационных систем) для защиты информации, содержащей сведения конфиденциального характера (Указ Президента Российской Федерации от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера»), обрабатываемой в информационных системах, которые в соответствии с Федеральным законом от
27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» не отнесены к государственным информационным системам.

6. По вопросу применения понятий «информационная система» и «автоматизированная система».

В Требованиях, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Составе и содержании мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, используется понятие «информационная система», установленное Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». При этом понятие «государственная информационная система», цели и порядок ее создания, а также порядок эксплуатации установлены статьями 13 и 14 указанного Федерального закона.

В иных методических документах и национальных стандартах в области защиты информации используется понятие «автоматизированная система», определенное национальным стандартом ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».

Учитывая, что Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состав и содержание мер, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, разрабатывались во исполнение федеральных законов от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 27 июля 2006 г. N 152-ФЗ «О персональных данных» соответственно, в которых используется понятие «информационная система», в нормативных правовых актах ФСТЭК России также использовано указанное понятие.

Исходя из родственных определений понятия «информационная система», установленного Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», и понятия «автоматизированная система», установленного национальным стандартом ГОСТ 34.003-90, а также из содержания Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, использование в нормативных правовых актах ФСТЭК России понятия «информационная система» не влияет на конечную цель защиты информации.

7. По вопросу отражения в сертификатах соответствия на средства защиты информации результатов их проверки на отсутствие недекларированных возможностей, а также отражения в конструкторской и эксплуатационной документации возможности применения средств защиты информации в государственных информационных системах и информационных системах персональных данных.

В соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, в государственных информационных системах 1 и 2 классов защищенности, а также для обеспечения 1, 2 уровней защищенности и 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. При этом выбор классов защиты сертифицированных средств защиты информации в зависимости от класса защищенности государственных информационных систем и уровня защищенности персональных данных осуществляется в соответствии с пунктом 26 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и пунктом 12 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, соответственно.

Отмечаем, что требования по безопасности информации к средствам защиты информации, утвержденные ФСТЭК России в пределах своих полномочий начиная с декабря 2011 г., включают требования по соответствующему уровню контроля отсутствия недекларированных возможностей для классов защиты этих средств.

В частности, системы обнаружения вторжений и средства антивирусной защиты, сертифицированные на соответствие Требованиям к системам обнаружения вторжений, утвержденным приказом ФСТЭК России от 6 декабря 2011 г. N 638, и Требованиям к средствам антивирусной защиты, утвержденным приказом ФСТЭК России от 20 марта 2012 г. N 28, по 4 классу защиты соответствуют 4 уровню контроля отсутствия недекларированных возможностей.

При использовании в государственных информационных системах соответствующего класса защищенности и для обеспечения установленного уровня защищенности персональных данных средств защиты информации, сертифицированных на соответствие требованиям безопасности информации, установленным в технических условиях (заданиях по безопасности) и (или) иных нормативных документах ФСТЭК России, соответствие уровню контроля отсутствия недекларированных возможностей указывается в сертификатах соответствия требованиям по безопасности информации на эти средства защиты информации.

Возможность применения в государственных информационных системах соответствующего класса защищенности и для обеспечения установленного уровня защищенности персональных данных средств защиты информации, сертифицированных на соответствие требованиям безопасности информации, установленным в технических условиях (заданиях по безопасности), указывается заявителем (разработчиком, производителем) в эксплуатационной и конструкторской документации на эти средства (формулярах и технических условиях).

8. По вопросу применения дополнительных мер защиты информации, направленных на нейтрализацию актуальных угроз безопасности персональных данных 1-го и 2-го типов.

В соответствии с пунктом 11 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, в целях снижения вероятности возникновения угроз безопасности персональных данных 1-го и 2-го типов могут применяться дополнительные меры, связанные с тестированием информационной системы на проникновения и использованием в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.

Указанные меры применяются для обеспечения безопасности персональных данных по решению оператора. При этом до разработки и утверждения ФСТЭК России методических документов по реализации указанных мер порядок их применения, а также форма и содержание документов определяются оператором самостоятельно.

9. По вопросу разработки методических документов ФСТЭК России в целях реализации Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Приказ ФСТЭК России от 18 февраля 2013 г. N 21 издан во исполнение части 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Указанным Федеральным законом разработка ФСТЭК России иных документов по обеспечению безопасности персональных данных, в том числе по моделированию угроз безопасности персональных данных, не предусмотрена. Определение типов угроз безопасности персональных данных осуществляется оператором в соответствии с пунктом 7 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

Одновременно в рамках полномочий по методическому руководству в области технической защиты информации, а также в целях реализации пунктов 14.3 и 21 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, в настоящее время в ФСТЭК России завершается разработка методических документов по описанию содержания мер защиты информации в информационных системах и порядку моделирования угроз безопасности информации в информационных системах. Ориентировочный срок утверждения документов – IVквартал 2013 г.

Кроме того, планируется разработка методических документов, определяющих порядок обновления программного обеспечения в аттестованных информационных системах, порядок выявления и устранения уязвимостей в информационных системах, порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации, а также ряда других методических документов, направленных на реализацию Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.

Одновременно сообщаем, что ФСТЭК России не наделена полномочиями по разъяснению Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, в том числе в части определения типов угроз персональных данных и порядка определения уровней защищенности персональных данных.

Начальник 2 управления

ФСТЭК России

Основными руководящими документами ФСТЭК, регламентирующими деятельность всех государственных органов по защите служебной тайны налоговых органов являются:

Специальные технические требования и рекомендации по защите конфиденциальной информации (СТР-К) устанавливают порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации. Они являются основным руководящим документом для федеральных органов государственной власти, субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций, независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан России, взявшим на себя обязательства исполнять требования правовых документов Российской Федерации по защите информации.

Указанные требования распространяются на защиту:

· конфиденциальной информации - информации с ограниченным доступом и являющейся собственностью государства;

· персональные данные.

Требования по защите конфиденциальной информации, содержащейся в негосударственных информационных ресурсах и, составляющей коммерческую тайну, носят рекомендательный характер.

Защита от несанкционированного доступа к информации. Термины и определения.

Защита устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Установленные термины обязательны для применения во всех видах документации.

Концепция излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации. Концепция является методологической базой нормативно-технических и методических документов, направленных на решение проблемы защиты информации от НСД связанное с СВТ и с автоматизированными системами (АС). НСД определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС.

Автоматизированные системы защиты от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.

Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения, обоснованных мер по достижению требуемого уровня защиты информации.

Установлено девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

Управления доступом;

Регистрации и учета;

Криптографической;

Обеспечения целостности.

Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

Настоящий Руководящий документ устанавливает классификацию средств вычислительной техники (СВТ) по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Установлено семь классов защищенности СВТ от НСД к информации. Самый низкий класс - седьмой, самый высокий - первый.

Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа к автоматизированным системам и средствам вычислительной техники.

Временное положение устанавливает единый на территории Российской Федерации порядок исследований, разработок в области программных и технических средств защиты информации от НСД, а также контроля за работоспособностью этих средств при эксплуатации.

Средства вычислительной техники. Межсетевые экраны. Защита защищенности от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

Настоящий документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Защита информации. Специальные защитные знаки. Классификация и общие требования.

Настоящий документ устанавливает классификацию по классам защиты специальных защитных знаков, предназначенных для контроля доступа к объектам защиты, а также для защиты документов от подделки, которые реализуются в виде рисунка, метки, материала, вещества, обложки, ламината, самоклеящейся ленты, отдельных наклеек, самоклеющихся пломб.