Приказ № 378

Приказ № 378

«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

Описание приказа № 378

Приказ ФСБ России от 10.07.2014 N 378 
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»


Кого касается

Операторы персональных данных, использующие средства криптографической защиты информации (СКЗИ) для обеспечения безопасности персональных данных при их обработке в ИСПДн.


Самое главное

Приказ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием СКЗИ, необходимых для выполнения требований к защите персональных данных для каждого из уровней защищенности.


Сокращения и термины


Оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.


Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.


Краткое изложение 

Приказ N 378 определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием средств криптографической защиты.

Исходя из установленного уровня защищенности, приказ определяет состав и содержание организационных и технических мер. 

Для 4-го уровня защищенности устанавливаются следующие требования:
  • организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  • обеспечение сохранности носителей персональных данных;
  • утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  • использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Для более высоких уровней накладываются дополнительные требования.

Для 3-го уровня защищенности необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе, который обладает достаточными навыками должностного лица.

Для 2-го уровня защищенности дополнительно необходимо выполнение требования о том, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных обязанностей.

Для 1-го уровня защищенности необходимо дополнительно оборудовать окна помещений, расположенных на первых и последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения. Так же оборудовать окна и двери помещений, в которых размещены серверы информационной системы. Существуют и другие дополнительные требования.

Для используемых СКЗИ определены требования к используемому классу в зависимости от уровня защищенности и типа актуальных угроз. Определить соответствие классов СКЗИ можно с помощью следующей таблицы.


Все материалы носят исключительно информационно-ознакомительный характер и не являются юридической консультацией

Оставьте заявку на  бесплатную консультацию