152 приказ фсб

Приказ ФСБ России от 5 марта 2015 г. N 152 «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению федерального государственного контроля за обеспечением защиты государственной тайны»

Приказ ФСБ России от 5 марта 2015 г. N 152
«Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению федерального государственного контроля за обеспечением защиты государственной тайны»

В соответствии с постановлением Правительства Российской Федерации от 16 мая 2011 г. N 373 «О разработке и утверждении административных регламентов исполнения государственных функций и административных регламентов предоставления государственных услуг»* приказываю:

1. Утвердить прилагаемый Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению федерального государственного контроля за обеспечением защиты государственной тайны.

2. Контроль за исполнением Административного регламента, утвержденного настоящим приказом, возложить на Центр по лицензированию, сертификации и защите государственной тайны ФСБ России и Департамент военной контрразведки ФСБ России в соответствии с их компетенцией.

* Собрание законодательства Российской Федерации, 2011, N 22, ст. 3169; N 35, ст. 5092; 2012, N 28, ст. 3908; N 36, ст. 4903; N 50 (ч. VI), ст. 7070; N 52, ст. 7507; 2014, N 5, ст. 506.

Утвержден Административный регламент ФСБ России по осуществлению федерального контроля за обеспечением защиты гостайны.

Контроль касается предприятий, учреждений и организаций, осуществляющих деятельность, связанную с использованием сведений, составляющих государственную тайну, их руководителей, должностных лиц и иных лиц.

В рамках контроля служащие ФСБ России имеют право доступа к документам, журналам (карточкам) учета и другим материалам и изделиям, местам их хранения, а также к техсредствам, автоматизированным системам и информации, хранящейся на машинных носителях, относящимся к проверке (при проведении выездной проверки).

По общему правилу срок проверки составляет не более чем 30 рабочих дней. Он может быть продлен не более чем на 20 рабочих дней. Акт проверки по общему правилу оформляется непосредственно после ее завершения. Если для составления акта необходимо получить заключения по результатам проведенных исследований, испытаний, специальных расследований, экспертиз, то он составляется в срок не более 3 рабочих дней.

Приказ ФСБ России от 5 марта 2015 г. N 152 «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению федерального государственного контроля за обеспечением защиты государственной тайны»

Зарегистрировано в Минюсте РФ 3 апреля 2015 г.

Регистрационный N 36720

Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования

Приказ ФСБ России от 14.04.2006 N 152 (ред. от 17.12.2013) «О пределах пограничной зоны на территории Республики Саха (Якутия)» (Зарегистрировано в Минюсте России 15.05.2006 N 7833)

ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ
от 14 апреля 2006 г. N 152

О ПРЕДЕЛАХ ПОГРАНИЧНОЙ ЗОНЫ
НА ТЕРРИТОРИИ РЕСПУБЛИКИ САХА (ЯКУТИЯ)

В целях реализации статьи 16 Закона Российской Федерации «О Государственной границе Российской Федерации» и создания необходимых условий охраны государственной границы Российской Федерации приказываю:

Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1993, N 17, ст. 594; Собрание законодательства Российской Федерации, 1994, N 16, ст. 1861; 1996, N 50, ст. 5610; 1998, N 31, ст. 3805; 1999, N 23, ст. 2808; 2000, N 46, ст. 4537; 2002, N 1, ст. 2; N 52, ст. 5134; 2003, N 27, ст. 2700; 2004, N 27, ст. 2711; N 35, ст. 3607; 2005, N 10, ст. 763.

1. Пограничную зону на территории Республики Саха (Якутия), прилегающей к морскому побережью Российской Федерации, установить в пределах:

1.1. В муниципальном образовании «Нижнеколымский улус (район)» — территории сельских поселений Олеринский наслег, Походский наслег, городского поселения поселок Черский;

в муниципальном образовании «Аллаиховский улус (район)» — территории сельских поселений Берелехский наслег, Русско-Устьинский наслег, городского поселения поселок Чокурдах;

в муниципальном образовании «Усть-Янский улус (район)» — территории сельских поселений Омолойский национальный наслег, Туматский национальный наслег, Усть-Янский национальный наслег, Юкагирский национальный наслег, городского поселения поселок Нижнеянск;

в муниципальном образовании «Булунский улус (район)» — территории сельских поселений Быковский наслег, Хара-Улахский наслег, Тюмятинский наслег, городского поселения поселок Тикси;

в муниципальном образовании «Анабарский улус (район)» — территории сельских поселений Саскылахский национальный наслег, Юрюнг-Хаинский национальный наслег;

на межселенных территориях указанных муниципальных образований — полосы местности шириной 25 километров вдоль морского побережья Российской Федерации.

1.2. Островов, находящихся во внутренних морских водах Российской Федерации и входящих в состав территории муниципальных образований.

2. Пограничному отделу ФСБ России по Республике Саха (Якутия) организовать установку на въездах в пограничную зону на территории Республики Саха (Якутия) предупреждающих знаков.

3. Контроль за исполнением настоящего Приказа возложить на Пограничную службу ФСБ России.

ФСБ: новые правила криптозащиты данных

ФСБ: новые правила криптозащиты данных

Финальный проект приказа ФСБ опубликован на сайте regulation.gov.ru. Если компания для защиты хочет использовать средства шифрования, эти средства должны быть сертифицированы ФСБ. Сертификат же получают только те технические средства, которые реализуют отечественные криптоалгоритмы. Их не поддерживают ни Android, ни iOS.

Приказ также устанавливает правила безопасности для помещений, в которых хранятся серверы криптозащиты: их окна и двери должны быть оборудованы «металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц».

Многие эксперты рынка ИБ считают, что данные правила ФСБ для некоторых компаний могут быть невыполнимыми.

Например, для большинства операторов ПДн (интернет-магазинов, систем кабельного телевидения) средств криптографии, сертифицированных ФСБ, просто не существует. Кроме того, сама система сертификации устроена таким образом, что сертификат выдается конкретной версии системы шифрования, это значит, что пользователи «почти никогда не получают адекватных и быстрых обновлений».

Приказ ФСБ дополняет Федеральный закон № 152-ФЗ «О персональных данных» в соответствии с поправками, принятыми в 2011 г. В этом законе в ст. 19 «Меры по обеспечению безопасности персональных данных при их обработке» разработка требований к криптозащите поручена ФСБ, и приказ должен их утвердить. После прохождения независимой антикоррупционной экспертизы, которая закончилась 5 июня, приказ должен подписать директор ФСБ Александр Бортников. Он вступит в силу через пару месяцев после того, как его утвердит Минюст.

По материалам Slon.ru и РБК
www.slon.ru
www.rbk.ru

Вопрос обеспечения конфиденциальности ПДн очень важен и постоянно всплывает на повестке дня. К сожалению, за три года, что пишется указанный приказ ФСБ, регулятор так и не смог не только разработать требования, адекватные современному уровню развития IT, но и не прислушался к мнению многочисленных экспертов. Выбранный 8-м Центром ФСБ подход слишком жесток в отношении 99% операторов ПДн. Требования ФСБ не в состоянии не то что выполнить, но и понять абсолютное большинство поликлиник, детсадов, школ, собесов, муниципальных учреждений, предприятий малого и среднего бизнеса. Худо-бедно требования 8-го Центра способны понять и местами попробовать выполнить только крупные организации, имеющие и бюджеты, и выделенных людей на ИБ. Да и то даже они не всегда способны взять и перевести все свои взаимодействия, в рамках которых осуществляется передача ПДн, на рельсы исключительно сертифицированных СКЗИ. Особенно тогда, когда сертифицированных СКЗИ нет и даже не предвидится, а таких сценариев существуют десятки. Никакой возможности использовать несертифицированную криптографию – даже по согласованию с ФСБ. Практический запрет применения любых open-source-решений (точнее, не запрет, но обязательство использовать с ними СКЗИ класса КА). Даже при использовании проприетарного ПО с закрытыми исходниками минимально возможный класс СКЗИ – КС3, так как вы не можете гарантировать, что злоумышленник в каком-нибудь торговом или бизнес-центре не получит физического доступа к СВТ, на которых стоят СКЗИ. Это в здании на Лубянке я могу хоть как-то это гарантировать, а в местах, открытых для свободного посещения неограниченного круга лиц, – никакой гарантии. И это если еще оператор ПДн по глупости или под давлением интегратора не решил признать у себя актуальными угрозы 1-го или даже 2-го типа. В этом случае минимально возможный класс используемого СКЗИ – КВ, а при использовании СКЗИ на базе Linux – КА.

Читайте так же:  Каско страховка рассчитать

За три года работы над проектом приказа ситуация так и не сдвинулась с мертвой точки. Как тянул 8-й Центр своими требованиями всех назад, во времена ЗАСов и вертушек, так и тянет. Ни современный бизнес, ни современные госуслуги не смогут жить по предлагаемым требованиям 8-го Центра, который явно или неявно толкает всех операторов ПДн на признание угрозы нарушения конфиденциальности в принципе неактуальной (даже если на самом деле это не так). Права субъектов ПДн с выходом данного приказа будут опять нарушены, но все в рамках действующего законодательства.

Зарегистрировано в Минюсте РФ 20 апреля 2005 г. N 6535

О РАЗМЕРАХ И ПОРЯДКЕ ОБЕСПЕЧЕНИЯ ВОЕННОСЛУЖАЩИХ,

ДЛЯ ПРОЕЗДА НА ВСЕХ ВИДАХ ОБЩЕСТВЕННОГО ТРАНСПОРТА

ГОРОДСКОГО, ПРИГОРОДНОГО И МЕСТНОГО СООБЩЕНИЯ

(ЗА ИСКЛЮЧЕНИЕМ ТАКСИ)

Во исполнение Постановления Правительства Российской Федерации от 21 декабря 2004 г. N 816 «Об обеспечении военнослужащих, проходящих военную службу по призыву, денежными средствами для проезда на всех видах общественного транспорта городского, пригородного и местного сообщения (за исключением такси)» приказываю:

Собрание законодательства Российской Федерации, 2004, N 52 (ч. II), ст. 5487.

Утвердить Инструкцию о размерах и порядке обеспечения военнослужащих, проходящих военную службу по призыву, денежными средствами для проезда на всех видах общественного транспорта городского, пригородного и местного сообщения (за исключением такси) (прилагается).

к Приказу ФСБ России

от 16 марта 2005 г. N 152

ПРОХОДЯЩИХ ВОЕННУЮ СЛУЖБУ ПО ПРИЗЫВУ, ДЕНЕЖНЫМИ СРЕДСТВАМИ

1. Для проезда на всех видах общественного транспорта городского, пригородного и местного сообщения (за исключением такси) солдатам, матросам, сержантам и старшинам, проходящим военную службу по призыву, а также курсантам (слушателям) военных образовательных учреждений профессионального образования до заключения первого контракта о прохождении военной службы (далее именуются — военнослужащие, проходящие военную службу по призыву) производятся денежные выплаты в следующих размерах:

Состав
военнослужащих,
проходящих
военную службу
по призыву

Размер выплаты (в рублях)

города
федерального
значения
(г. Москва и
г. Санкт-
Петербург)

столицы республик,
краев, областей,
автономной области,
автономных округов
в составе Российской
Федерации, Московская
и Ленинградская
области

другие
города и
прочие
населенные
пункты

Солдаты, матросы,
сержанты и стар-
шины

Курсанты (слуша-
тели) военных об-
разовательных уч-
реждений профес-
сионального обра-
зования

2. Указанные выплаты производятся со дня зачисления военнослужащего, проходящего военную службу по призыву, в списки личного состава и по день исключения его из списков личного состава либо до дня вступления в силу заключенного с ним первого контракта о прохождении военной службы.

3. В случае осуществления военнослужащими, проходящими военную службу по призыву, проезда в служебных целях к денежной выплате, указанной в пункте 1 настоящей Инструкции, в порядке исключения, может производиться выплата денежных средств для проезда на всех видах общественного транспорта городского, пригородного и местного сообщения (за исключением такси) по фактической стоимости проезда.

4. Выплата денежных средств на проезд всеми видами общественного транспорта городского, пригородного и местного сообщения (за исключением такси) в случае осуществления проезда в служебных целях производится на основании приказов, издаваемых начальниками органов федеральной службы безопасности, командирами воинских частей, с указанием суммы, дат или периодов, когда военнослужащие, проходящие военную службу по призыву, осуществляли проезд.

5. Указанная выплата производится в пределах выделенных ассигнований на денежное довольствие военнослужащих.

Ассоциация содействует в оказании услуги в продаже лесоматериалов: покупка горбыль по выгодным ценам на постоянной основе. Лесопродукция отличного качества.

Приказ ФСБ РФ от 06.04.2007 N 152 О внесении изменения в Приказ ФСБ России от 16 июня 2006 г. N 286

от 6 апреля 2007 г. N 152

О ВНЕСЕНИИ ИЗМЕНЕНИЯ

В ПРИКАЗ ФСБ РОССИИ ОТ 16 ИЮНЯ 2006 Г. N 286

В абзаце третьем пункта 1 Приказа ФСБ России от 16 июня 2006 г. N 286 «О пределах пограничной зоны на территории Читинской области» слово «Алтайское» заменить словом «Алтанское».

Зарегистрирован Минюстом России 13 июля 2006 г., регистрационный N 8054.

ФЗ о страховых пенсиях

ФЗ о пожарной безопасности

ФЗ об образовании

ФЗ о государственной гражданской службе

ФЗ о государственном оборонном заказе

О защите прав потребителей

ФЗ о противодействии коррупции

ФЗ об охране окружающей среды

ФЗ о бухгалтерском учете

ФЗ о защите конкуренции

ФЗ о лицензировании отдельных видов деятельности

ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц

ФЗ о прокуратуре

ФЗ о несостоятельности (банкротстве)

ФЗ о персональных данных

ФЗ о госзакупках

ФЗ об исполнительном производстве

ФЗ о воинской службе

ФЗ о банках и банковской деятельности

Проценты по денежному обязательству

Ответственность за неисполнение денежного обязательства

Уклонение от исполнения административного наказания

Расторжение трудового договора по инициативе работодателя

Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам

Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения

Особенности правового положения казенных учреждений

Общие основания прекращения трудового договора

Порядок рассмотрения сообщения о преступлении

Судебный порядок рассмотрения жалоб

Основания отказа в возбуждении уголовного дела или прекращения уголовного дела

Документы, прилагаемые к исковому заявлению

Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение

Форма и содержание искового заявления

(c) 2015-2020 Законы, кодексы, нормативные и судебные акты

152 приказ фсб

Для того чтобы получить бесплатную консультацию или разместить какой-либо материал, необходимо войти на форум. Попробуйте Зарегистрироваться или Войти нажав на кнопку в правом верхнем углу. Также Вы можете использовать для входа на форум свои учётные записи в социальных сетях.

Кратко о нашем проекте:

Данный проект создан для того, чтобы сделать доступным оказание качественной юридической помощи всем слоям населения. Проблема правового нигилизма, широко озвученная в наша время в том числе и Президентом страны становится всё более актуальной, так как несмотря на то, что в нашей стране существует достаточно серьёзная и качественная правовая база, многие люди сталкиваясь с юридическими проблемами просто не знают что нужно делать и как нужно делать будь то ДТП, имущественные споры, уголовное преследование, административные ограничения или любые соприкосновения с органами власти. С этой проблемой можно и нужно бороться вместе и в данном случае площадкой для объединения профессиональных юристов и граждан нуждающихся в защите или просто правильном совете выступает проект Спроси Адвоката.
В нашем проекте участвуют профессиональные практикующие юристы, теоретики а также адвокаты — люди, чьим долгом является правовая защита граждан всеми законными способами. Проект Спроси адвоката является некоммерческим проектом, то есть любой человек, зарегистрировавшись на форуме может задать вопрос и получить на него квалифицированный ответ совершенно БЕСПЛАТНО. На проекте запрещена любая реклама.
Регистрация является предельно простой, но она необходима для защиты от всевозможных спам-роботов, размещающих на сайте нежелательную информацию.
В случае возникновения каких-либо проблем, прошу сообщать об этом в этой теме. Желаем Вам удачи и успехов, надеюсь данный проект поможет Вам.

Читайте так же:  Имущество предмета лизинга в залог

Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных

Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.

Миф 1. Я поставил антивирус, межсетевой экран, огородил стойки забором. Я же соблюдаю закон?

152-ФЗ – не про защиту систем и серверов, а про защиту персональных данных субъектов. Поэтому соблюдение 152-ФЗ начинается не с антивируса, а с большого количества бумажек и организационных моментов.
Главный проверяющий, Роскомнадзор, будет смотреть не на наличие и состояние технических средств защиты, а на правовые основания для обработки персональных данных (ПДн):

  • с какой целью вы собираете персональные данные;
  • не собираете ли вы их больше, чем нужно для ваших целей;
  • сколько храните персональные данные;
  • есть ли политика обработки персональных данных;
  • собираете ли согласие на обработку ПДн, на трансграничную передачу, на обработку третьими лицами и пр.
  • Ответы на эти вопросы, а также сами процессы должны быть зафиксированы в соответствующих документах. Вот далеко не полный список того, что нужно подготовить оператору персональных данных:

    • Типовая форма согласия на обработку персональных данных (это те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные).
    • Политика оператора в отношении обработки ПДн (тут есть рекомендации по оформлению).
    • Приказ о назначении ответственного за организацию обработки ПДн.
    • Должностная инструкция ответственного за организацию обработки ПДн.
    • Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона.
    • Перечень информационных систем персональных данных (ИСПДн).
    • Регламент предоставления доступа субъекта к его ПДн.
    • Регламент расследования инцидентов.
    • Приказ о допуске работников к обработке ПДн.
    • Регламент взаимодействия с регуляторами.
    • Уведомление РКН и пр.
    • Форма поручения обработки ПДн.
    • Модель угроз ИСПДн.
    • После решения этих вопросов можно приступать к подбору конкретных мер и технических средств. Какие именно понадобятся вам, зависит от систем, условий их работы и актуальных угроз. Но об этом чуть позже.

      Реальность: соблюдение закона – это налаживание и соблюдение определенных процессов, в первую очередь, и только во вторую – использование специальных технических средств.

      Миф 2. Я храню персональные данные в облаке, дата-центре, соответствующем требованиям 152-ФЗ. Теперь они отвечают за соблюдение закона

      Когда вы отдаете на аутсорсинг хранение персональных данных облачному провайдеру или в дата-центр, то вы не перестаете быть оператором персональных данных.
      Призовем на помощь определение из закона:

      Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
      Источник: статья 3, 152-ФЗ

      Из всех этих действий сервис-провайдер отвечает за хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Все остальное обеспечивает оператор персональных данных. Это значит, что оператор, а не сервис-провайдер, определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи утечки персональных данных на сторону и так далее.

      Следовательно, оператор персональных данных по-прежнему должен собрать документы, которые были перечислены выше, и выполнить организационные и технические меры для защиты своих ИСПДн.

      Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако. Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ.

      Некоторые провайдеры помогают с оформлением документов и обеспечением технических средств защиты для самих ИСПДн, т. е. уровня выше инфраструктуры. Оператор тоже может отдать эти задачи на аутсорсинг, но сама ответственность и обязательства по закону никуда не исчезают.

      Реальность: обращаясь к услугам провайдера или дата-центра, вы не можете передать ему обязанности оператора персональных данных и избавиться от ответственности. Если провайдер вам это обещает, то он, мягко говоря, лукавит.

      Миф 3. Необходимый пакет документов и мер у меня есть. Персональные данные храню у провайдера, который обещает соответствие 152-ФЗ. Все в ажуре?

      Да, если вы не забыли подписать поручение. По закону оператор может поручить обработку персональных данных другому лицу, например, тому же сервис-провайдеру. Поручение – это своего рода договор, где перечисляется, что сервис-провайдер может делать с персональными данными оператора.

      Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.
      Источник: п.3, статья 6, 152-ФЗ

      Тут же закрепляется обязанность провайдера соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с указанными требованиями:

      В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
      Источник: п.3, статья 6, 152-ФЗ

      За это провайдер несет ответственность перед оператором, а не перед субъектом персональных данных:

      В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
      Источник: 152-ФЗ.

      В поручении также важно прописать обязанность обеспечения защиты персональных данных:

      Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее – оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее – уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
      Источник: Постановление Правительства РФ от 1 ноября 2012 г. № 1119

      Реальность: если отдаете персональные данные провайдеру, то подписывайте поручение. В поручении указывайте требование по обеспечению защиты ПДн субъектов. Иначе вы не соблюдаете закон в части передачи работ обработки персональных данных третьим лицом и провайдер в части соблюдения 152-ФЗ вам ничего не обязан.

      Миф 4. За мной шпионит Моссад, или У меня непременно УЗ-1

      Некоторые заказчики настойчиво доказывают, что у них ИСПДн уровня защищенности 1 или 2. Чаще всего это не так. Вспомним матчасть, чтобы разобраться, почему так получается.
      УЗ, или уровень защищенности, определяет, от чего вы будете защищать персональные данные.
      На уровень защищенности влияют следующие моменты:

    • тип персональных данных (специальные, биометрические, общедоступные и иные);
    • кому принадлежат персональные данные – сотрудникам или несотрудникам оператора персданных;
    • количество субъектов персональных данных – более или менее 100 тыс.
    • типы актуальных угроз.
    Читайте так же:  Пожарные требования к котельной

    Про типы угроз нам рассказывает Постановление Правительства РФ от 1 ноября 2012 г. № 1119. Вот описание каждого с моим вольным переводом на человеческий язык.

    Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

    Если вы признаете этот тип угроз актуальным, значит вы свято верите в то, что агенты ЦРУ, МИ-6 или МОССАД разместили в операционной системе закладку, чтобы воровать персональные данные конкретных субъектов именно из ваших ИСПДн.

    Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

    Если считаете, что угрозы второго типа – это ваш случай, то вы спите и видите, как те же агенты ЦРУ, МИ-6, МОССАД, злобный хакер-одиночка или группировка разместили закладки в каком-нибудь пакете программ для офиса, чтобы охотиться именно за вашими персональными данными. Да, есть сомнительное прикладное ПО типа ?Torrent, но можно сделать список разрешенного софта к установке и подписать с пользователями соглашение, не давать пользователям права локальных администраторов и пр.

    Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

    Вам не подходят угрозы 1 и 2 типов, значит, вам сюда.

    С типами угроз разобрались, теперь смотрим, какой же уровень защищенности будет у нашей ИСПДн.


    Таблица на основе соответствий, прописанных в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119.

    Если мы выбрали третий тип актуальных угроз, то в большинстве случаев у нас будет УЗ-3. Единственное исключение, когда угрозы 1 и 2 типа не актуальны, но уровень защищенности все равно будет высоким (УЗ-2), – это компании, которые обрабатывают специальные персональные данные несотрудников в объеме более 100 000. Например, компании, занимающиеся медицинской диагностикой и оказанием медицинских услуг.

    Есть еще УЗ-4, и он встречается в основном у компаний, чей бизнес не связан с обработкой персональных данных несотрудников, т. е. клиентов или подрядчиков, либо базы персональных данных малы.

    Почему так важно не переборщить с уровнем защищенности? Все просто: от этого будет зависеть набор мер и средств защиты для обеспечения этого самого уровня защищенности. Чем выше УЗ, тем больше всего надо будет сделать в организационном и техническом плане (читай: тем больше денег и нервов нужно будет потратить).

    Вот, например, как меняется набор мер обеспечения безопасности в соответствии с тем же ПП-1119.

    Теперь смотрим, как, в зависимости от выбранного уровня защищенности, меняется список необходимых мер в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013 г. К этому документу есть длиннющее приложение, где определяются необходимые меры. Всего их 109, для каждого УЗ определены и отмечены знаком «+» обязательные меры – они как раз и рассчитаны в таблице ниже. Если оставить только те, которые нужны для УЗ-3, то получится 41.

    Реальность: если вы не собираете анализы или биометрию клиентов, вы не параноик боитесь закладок в системном и прикладном ПО, то, скорее всего, у вас УЗ-3. Для него предусмотрен вменяемый список организационных и технических мер, которые реально выполнить.

    Миф 5. Все средства защиты (СЗИ) персональных данных должны быть сертифицированы ФСТЭК России

    Если вы хотите или обязаны провести аттестацию, то скорее всего вам придется использовать сертифицированные средства защиты. Аттестацию будет проводить лицензиат ФСТЭК России, который:

  • заинтересован продать побольше сертифицированных СЗИ;
  • будет бояться отзыва лицензии регулятором, если что-то пойдет не так.
  • Если аттестация вам не нужна и вы готовы подтвердить выполнение требований иным способом, названным в Приказе ФСТЭК России № 21 «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных», то сертифицированные СЗИ для вас не обязательны. Постараюсь кратко привести обоснование.

    В пункте 2 статьи 19 152-ФЗ говорится о том, что нужно использовать средства защиты, прошедшие в установленном порядке процедуру оценки соответствия:

    Обеспечение безопасности персональных данных достигается, в частности:
    [. ]
    3)применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

    В пункте 13 ПП-1119 также есть требование об использовании средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства:

    [. ]
    использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

    Пункт 4 Приказа ФСТЭК № 21 практически дублирует пункт ПП-1119:

    Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

    Что общего у этих формулировок? Правильно – в них нет требования использовать сертифицированные средства защиты. Дело в том, что форм оценки соответствия несколько (добровольная или обязательная сертификация, декларирование соответствия). Сертификация – это лишь одна из них. Оператор может использовать несертифицированные средства, но нужно будет продемонстрировать регулятору при проверке, что для них пройдена процедура оценки соответствия в какой-либо форме.

    Если же оператор решает использовать сертифицированные средства защиты, то нужно выбирать СЗИ в соответствие с УЗ, о чем явно указано в Приказе ФСТЭК № 21:

    Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.
    При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:


    Пункт 12 Приказа № 21 ФСТЭК России.

    Реальность: закон не требует обязательного использования сертифицированных средств защиты.

    Миф 6. Мне нужна криптозащита

    Тут несколько нюансов:

    1. Многие считают, что криптография обязательна для любых ИСПДн. На самом деле использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.
    2. Если без криптографии никак, то нужно использовать СКЗИ, сертифицированные ФСБ.
    3. Например, вы решили разместить ИСПДн в облаке сервис-провайдера, но не доверяете ему. Свои опасения вы описываете в модели угроз и нарушителя. У вас ПДн, поэтому вы решили, что криптография – единственный способ защиты: будете шифровать виртуальные машины, строить защищенные каналы посредством криптозащиты. В этом случае придется применять СКЗИ, сертифицированные ФСБ России.
    4. Сертифицированные СКЗИ подбираются в соответствии с определенным уровнем защищенности согласно Приказу № 378 ФСБ.

    Для ИСПДн с УЗ-3 можно использовать КС1, КС2, КС3. КС1 – это, например, C-Терра Виртуальный шлюз 4.2 для защиты каналов.

    KC2, КС3 представлены только программно-аппаратными комплексами, такими как: ViPNet Coordinator, АПКШ «Континент», С-Терра Шлюз и т. д.

    Если у вас УЗ-2 или 1, то вам нужны будут средства криптозащиты класса КВ1, 2 и КА. Это специфические программно-аппаратные комплексы, их сложно эксплуатировать, а характеристики производительности скромные.

    Реальность: закон не обязывает использовать СКЗИ, сертифицированные ФСБ.