Администрация Тамбовской области 29 ноября Тамбов 2012 Выполнение законодательства Российской Федерации в области защиты персональных данных в органах исполнительной власти области и органах местного самоуправления области Семинар на тему:
Администрация Тамбовской области Постановление Правительства Российской Федерации от 1 ноября 2012 г «Об утверждении требований к защите персональных данных при их обработке в информационных системах»
ПРОЕКТ ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК РОССИИ) ПРИКАЗ «___» _______ 201__ г. г. Москва ______ Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных 20 ноября 2012 г. 240/24/4669 Федеральная служба по техническому и экспортному контролю В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. 152-ФЗ «О персональных данных» и Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. 1119, ФСТЭК России завершается работа по подготовке проекта нормативного правового акта, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Проект указанного нормативного правового акта планируется до 7 декабря 2012 г. разместить на официальном сайте ФСТЭК России для рассмотрения заинтересованными лицами.
В целях обеспечения преемственности методов и способов по защите персональных данных при их обработке в информационных системах персональных данных, а также сертификации средств защиты информации, предназначенных для защиты персональных данных, до издания в установленном порядке нормативного правового акта ФСТЭК России, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, по поручению руководства ФСТЭК России полагаем целесообразным сообщить следующее: 1. Предполагается, что нормативный правовой акт ФСТЭК России, устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, будет применяться к информационным системам персональных данных, для которых решение о создании системы защиты информации будет принято после вступления в силу указанного нормативного правового акта. 2. Сертификаты соответствия, выданные ФСТЭК России до вступления в силу нормативного правового акта ФСТЭК России, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, переоформлению не подлежат. При выборе средств защиты информации, на которые сертификаты соответствия ФСТЭК России были выданы до вступления в силу указанного нормативного правового акта, для защиты персональных данных считаем целесообразным руководствоваться следующим: средства защиты информации, которые могут использоваться для защиты персональных данных, обрабатываемых в информационных системах персональных данных 1 класса, могут применяться для обеспечения защищенности персональных данных, обрабатываемых в информационных системах персональных данных, до 1 уровня включительно;
средства защиты информации, которые могут использоваться для защиты персональных данных, обрабатываемых в информационных системах персональных данных 2 класса, могут применяться для обеспечения 4 уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных. При обеспечении защищенности персональных данных, обрабатываемых в информационных системах персональных данных, могут применяться средства защиты информации, в сертификатах соответствия на которые не приведена информация о возможности их использования для защиты персональных данных. В этом случае функции безопасности указанных средств защиты информации должны обеспечивать соответствующие технические меры по обеспечению определенного уровня защищенности персональных данных, которые будут установлены нормативным правовым актом ФСТЭК России, определяющим состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
для обеспечения 4 уровня защищенности персональных данных в информационных системах персональных данных будут применяться системы обнаружения вторжений и средства антивирусной защиты, соответствующие 6 классу защиты; для обеспечения 3 уровня защищенности персональных данных в информационных системах персональных данных, в которых не определены в качестве актуальных угрозы 2-го типа и которые не подключены к информационно-телекоммуникационным сетям международного информационного обмена, будут применяться системы обнаружения вторжений и средства антивирусной защиты, соответствующие 5 классу защиты; для обеспечения 1 или 2 уровня защищенности персональных данных в информационных системах персональных данных, а также 3 уровня защищенности персональных данных в информационных системах персональных данных, в которых определены в качестве актуальных угрозы 2-го типа или которые подключены к информационно-телекоммуникационным сетям международного информационного обмена, будут применяться системы обнаружения вторжений и средства антивирусной защиты, соответствующие 4 классу защиты.