Приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 05.02.2010 № 58 утверждено «Положение о методах и способах защиты информации в информационных системах персональных данных» (далее — Положение). Приказ зарегистрирован в Минюсте РФ 19.02.2010 № 16456, опубликован 5 марта 2010 г. в «Российской газете»,вступил в действие с 15 марта 2010 г.
Одновременно с этим в связи с изданием Приказа ФСТЭК России от 5 февраля 2010 г. № 58 объявлено решение ФСТЭК от 05.03.2010 не применять с 15.03.2010 следующие методические документы ФСТЭК:
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах (ИС) персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
В связи с этим определение класса ИС персональных данных осуществляется только в соответствии с «Порядком проведения классификации информационных систем персональных данных», который утвержден совместным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20.
При этом класс системы определяется независимо от того, является ли она типовой или специальной, — таблица классов систем, приведенная в «Порядке», относится и к типовым, и к специальным системам.
По сравнению с требованиями указанного выше методического документа «Основные мероприятия ...» в соответствии с новым Положением объем обязательных требований по защите персональных данных в ИС существенно сокращен, в том числе:
1. Отменены обязательные требования по:
а) получению лицензии на техническую защиту информации,
б) аттестации системы на соответствие требованиям безопасности информации, в) использованию средств криптографической защиты информации,
г) управлению потоками информации с помощью меток конфиденциальности.
Ранее лицензия была необходима для операторов систем классов К1, К2 и распределенных систем класса К3, аттестация была обязательной для систем классов К1 и К2, применение средств криптозащиты и меток конфиденциальности было предусмотрено для систем класса К1.
2. Отменены явные требования по обязательному использованию сертифицированных средств защиты информации, за исключением обязательного контроля отсутствия недекларированных возможностей в программном обеспечении средств защиты информации для ИС персональных данных класса К1.
3. Исключены требования по обязательному использованию специальных средств защиты от утечки информации за счет побочных электромагнитных излучений и наводок (ПЭМИН), что было предусмотрено ранее для систем классов К1 и К2. Необходимость использования указанных средств защиты определяется оператором, исходя из модели актуальных угроз безопасности персональных данных в каждом конкретном случае (на усмотрение оператора).
Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных ИС через сеть связи общего пользования или Интернет в Положении предусмотрено:
— создание канала связи, обеспечивающего защиту передаваемой информации;
— осуществление аутентификации взаимодействующих ИС и проверки подлинности пользователей и целостности передаваемых данных.
При межсетевом взаимодействии ИС разных операторов персональных данных, кроме того, предусмотрено дополнительно обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю и(или) факта их получения от другого пользователя («учетность и неотказуемость»).
Источник: Автоматизированная обработка персональных данных в медицинских учреждениях. Столбов А.П., Кузнецов П.П. — ИД «Менджер здравоохранения», 2010. — 210 с.