Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (утв. ФСБ России 31 марта 2015 г. N 149/7/2/6-432)
Введение
Настоящие методические рекомендации предназначены для федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, органов государственных внебюджетных фондов, иных государственных органов (далее - органы власти) которые, в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон), в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее - ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (далее - НПА).
В методических рекомендациях отражены только необходимые для включения в проекты НПА положения, находящиеся в компетенции ФСБ России.
Настоящими методическими рекомендациями целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее - СКЗИ) для обеспечения безопасности персональных данных.
1. Общее описание информационных систем персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности
В проекте НПА целесообразно, в первую очередь, привести перечень и общее описание информационных систем персональных данных, которые могут эксплуатироваться операторами при осуществлении соответствующих видов деятельности и (по возможности) определить уровни защищенности для таких информационных систем в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.
Возможны три случая:
1. ИСПДн имеют сходную структуру, однотипны. В дальнейшем такие системы будут именоваться "однотипными системами". Примером может служить описание федеральным органом исполнительной власти угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах территориальных подразделений этого органа.
В указанном случае целесообразно в проекте НПА указывать наиболее полную информацию об ИСПДн и среде их функционирования.
Следует отметить, что в зависимости от вида деятельности, для которого разрабатывается НПА, в проекте НПА может выделяться несколько категорий однотипных систем.
2. ИСПДн разноплановы, имеют различную структуру и могут содержать различные категории персональных данных. В дальнейшем такие системы будут именоваться "разноплановыми системами".
В этом случае целесообразно перечислить имеющиеся системы и указать общую информацию о возможной среде их функционирования, если такая информация имеется.
3. Эксплуатируются как одна или несколько однотипных, так и разноплановые системы.
В этом случае целесообразно указывать наиболее полную информацию о категориях однотипных систем и среде их функционирования, а также общую информацию о разноплановых системах и среде их функционирования.
При описании информационных систем следует, в частности, указывать:
- общие сведения об информационных системах (назначение, оператор (уполномоченное лицо);
- объем и содержание персональных данных, обрабатываемых в информационных системах;
- характеристики безопасности (конфиденциальность, целостность, доступность, подлинность), которые необходимо обеспечивать для обрабатываемых персональных данных.
При описании однотипных систем следует также указывать:
- объекты, в которых размещены ресурсы информационных систем;
- физические меры защиты объектов, в которых размещены ресурсы информационных систем;
- меры по обеспечению контролируемой зоны;
- типы информационных систем (например, единая информационная система для всех обрабатываемых персональных данных или совокупность изолированных и (или) взаимосвязанных информационных подсистем. В последнем случае необходимо приводить описание взаимосвязей между подсистемами и указывать объем и содержание персональных данных, обрабатываемых в каждой подсистеме);
- наличие или отсутствие информационного взаимодействия каждой подсистемы информационной системы или информационной системы в целом с другими информационными системами, а также наличие факта передачи персональных данных между ними;
- используемые в каждой подсистеме или в информационной системе в целом каналы (линии) связи, включая кабельные системы, и меры по ограничению несанкционированного доступа к защищаемой информации, передаваемой по этим каналам (линиям) связи, с указанием каналов (линий) связи, в которых невозможен несанкционированный доступ к передаваемой по ним защищаемой информации, и реализуемые для обеспечения этого качества меры;
- носители защищаемой информации, используемые в каждой подсистеме информационной системы или в информационной системе в целом (за исключением каналов (линий) связи).
|