Присоединяйтесь!
Зарегистрированных пользователей портала: 505 923. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ С ПОМОЩЬЮ КРИПТОСРЕДСТВ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ" (Утв. руководством 8 Центра ФСБ РФ 21.02.2008 N 149/54-144)

Дата документа21.02.2008
Статус документаДействует
МеткиРекомендации

    

УТВЕРЖДЕНЫ
руководством 8 Центра ФСБ России
21 февраля 2008 года N 149/54-144

 

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ С ПОМОЩЬЮ КРИПТОСРЕДСТВ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ

 

Введение

 
    Настоящие Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (далее – Методические рекомендации) разработаны в соответствии с п. 2 постановления Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
    Методические рекомендации предназначены для операторов и разработчиков информационных систем персональных данных и охватывают вопросы защиты персональных данных с помощью криптосредств.
    Методическими рекомендациями необходимо руководствоваться в случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств (за исключением случая, когда оператором является физическое лицо, использующее персональные данные исключительно для личных и семейных нужд), а также при обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России. В частности, Методическими рекомендациями необходимо руководствоваться в следующих случаях:
    - при обеспечении с использованием криптосредств безопасности персональных данных при их обработке в государственных информационных системах персональных данных (часть 5 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации");
    - при использовании криптосредств для обеспечения персональных данных в случаях, предусмотренных п. 3 Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).
    Настоящие Методические рекомендации не распространяются на информационные системы персональных данных, в которых:
    - персональные данные обрабатываются без использования средств автоматизации;
    - обрабатываются персональные данные, отнесенные в установленном порядке к сведениям, составляющим государственную тайну;
    - технические средства частично или целиком находятся за пределами Российской Федерации.
 

1 Основные термины и их определения

 
    В настоящих Методических рекомендациях и при взаимодействии с лицензиатами ФСБ России, являющимися разработчиками криптосредств, разработчиками информационных систем персональных данных, в которых используются криптосредства, или специализированными организациями, проводящими тематические исследования криптосредств, используются следующие основные термины.
    Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций <1>.
    Автоматизированная система в защищенном исполнении (АСЗИ) – автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и (или) иных нормативных документов по защите информации <2>.
    Атака – целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.
    Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз <3>.
    Безопасность объекта – состояние защищенности объекта от внешних и внутренних угроз.
    Примечание
    Данное определение распространяется на любой реальный объект, в качестве которого могут выступать технические средства, программные средства, информация, информационные технологии, информационные системы, информационно-телекоммуникационные сети, здания, сооружения и т.д.
    Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи <4>.
    


    <1> ГОСТ 34.003-90.
    <2> ГОСТ Р 51624-2000.
    <3> Закон Российской Федерации "О безопасности".
    <4> Федеральный закон "О персональных данных".
 
    Встраивание криптосредства – процесс подключения криптосредства к техническим и программным средствам, совместно с которыми предполагается его штатное функционирование, за исключением процесса инсталляции.
    Документированные (декларированные) возможности ПО (ТС) – функциональные возможности ПО (ТС), описанные в документации на ПО (ТС).
    Доступ к информации – возможность получения информации и ее использования <5>.
    Жизненно важные интересы – совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства <6>.
    Защищаемая информация – информация, для которой обладателем информации определены характеристики ее безопасности.
    Инсталляция – установка программного продукта на компьютер. Инсталляция обычно выполняется под управлением инсталлятора – программы, которая приводит состав и структуру устанавливаемого программного изделия в соответствие с конфигурацией компьютера, а также настраивает программные параметры согласно типу имеющейся операционной системы, классам решаемых задач и режимам работы. Таким образом, инсталляция делает программный продукт пригодным для использования в данной вычислительной системе и готовым решать определенный класс задач в определенном режиме работы <7>.
    Информация – сведения (сообщения, данные) независимо от формы их представления <8>.
    Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств <9>.
    
    <5> Федеральный закон "Об информации, информационных технологиях и о защите информации".
    <6> Закон Российской Федерации "О безопасности".
    <7> В. Дорот, Ф. Новиков "Толковый словарь современной компьютерной лексики", СПб., БХВ-Петербург, 2004.
    <8> Федеральный закон "Об информации, информационных технологиях и о защите информации".
    <9> Федеральный закон "Об информации, информационных технологиях и о защите информации".
 
    Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств <10>.
    Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов <11>.
    Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники <12>.
    Информационно-телекоммуникационная сеть общего пользования –информационно-телекоммуникационная сеть, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.
    Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц <13>.