Присоединяйтесь!
Зарегистрированных пользователей портала: 505 365. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО РАЗРАБОТКЕ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ, ОПРЕДЕЛЯЮЩИХ УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫЕ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЭКСПЛУАТИРУЕМЫХ ПРИ ОСУЩЕСТВЛЕНИИ СООТВЕТСТВУЮЩИХ ВИДОВ ДЕЯТЕЛЬНОСТИ" (утв. ФСБ РФ 31.03.2015 N 149/7/2/6-432)

Дата документа31.03.2015
Статус документаДействует
МеткиМетодические рекомендации

    

УТВЕРЖДЕНЫ
руководством 8 Центра ФСБ России
31 марта 2015 года N 149/7/2/6-432

 

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО РАЗРАБОТКЕ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ, ОПРЕДЕЛЯЮЩИХ УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫЕ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЭКСПЛУАТИРУЕМЫХ ПРИ ОСУЩЕСТВЛЕНИИ СООТВЕТСТВУЮЩИХ ВИДОВ ДЕЯТЕЛЬНОСТИ

 

Введение

 
    Настоящие методические рекомендации предназначены для федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, органов государственных внебюджетных фондов, иных государственных органов (далее - органы власти) которые, в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон), в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее - ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (далее - НПА).
    В методических рекомендациях отражены только необходимые для включения в проекты НПА положения, находящиеся в компетенции ФСБ России.
    Настоящими методическими рекомендациями целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее - СКЗИ) для обеспечения безопасности персональных данных.
 

1. Общее описание информационных систем персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности

 
    В проекте НПА целесообразно, в первую очередь, привести перечень и общее описание информационных систем персональных данных, которые могут эксплуатироваться операторами при осуществлении соответствующих видов деятельности и (по возможности) определить уровни защищенности для таких информационных систем в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.
    Возможны три случая:
    1. ИСПДн имеют сходную структуру, однотипны. В дальнейшем такие системы будут именоваться "однотипными системами". Примером может служить описание федеральным органом исполнительной власти угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах территориальных подразделений этого органа.
    В указанном случае целесообразно в проекте НПА указывать наиболее полную информацию об ИСПДн и среде их функционирования.
    Следует отметить, что в зависимости от вида деятельности, для которого разрабатывается НПА, в проекте НПА может выделяться несколько категорий однотипных систем.
    2. ИСПДн разноплановы, имеют различную структуру и могут содержать различные категории персональных данных. В дальнейшем такие системы будут именоваться "разноплановыми системами".
    В этом случае целесообразно перечислить имеющиеся системы и указать общую информацию о возможной среде их функционирования, если такая информация имеется.
    3. Эксплуатируются как одна или несколько однотипных, так и разноплановые системы.
    В этом случае целесообразно указывать наиболее полную информацию о категориях однотипных систем и среде их функционирования, а также общую информацию о разноплановых системах и среде их функционирования.
    При описании информационных систем следует, в частности, указывать:
    - общие сведения об информационных системах (назначение, оператор (уполномоченное лицо);
    - объем и содержание персональных данных, обрабатываемых в информационных системах;
    - характеристики безопасности (конфиденциальность, целостность, доступность, подлинность), которые необходимо обеспечивать для обрабатываемых персональных данных.
    При описании однотипных систем следует также указывать:
    - объекты, в которых размещены ресурсы информационных систем;
    - физические меры защиты объектов, в которых размещены ресурсы информационных систем;
    - меры по обеспечению контролируемой зоны;
    - типы информационных систем (например, единая информационная система для всех обрабатываемых персональных данных или совокупность изолированных и (или) взаимосвязанных информационных подсистем. В последнем случае необходимо приводить описание взаимосвязей между подсистемами и указывать объем и содержание персональных данных, обрабатываемых в каждой подсистеме);
    - наличие или отсутствие информационного взаимодействия каждой подсистемы информационной системы или информационной системы в целом с другими информационными системами, а также наличие факта передачи персональных данных между ними;