Приказ № 378
Приказ ФСБ России от 10.07.2014 N 378
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
Кого касается
Операторы персональных данных, использующие средства криптографической защиты информации (СКЗИ) для обеспечения безопасности персональных данных при их обработке в ИСПДн.
Самое главное
Приказ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием СКЗИ, необходимых для выполнения требований к защите персональных данных для каждого из уровней защищенности.
Сокращения и термины
Оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Краткое изложение
Приказ N 378 определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием средств криптографической защиты.
Исходя из установленного уровня защищенности, приказ определяет состав и содержание организационных и технических мер.
Для 4-го уровня защищенности устанавливаются следующие требования:
- организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечение сохранности носителей персональных данных;
- утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Для 3-го уровня защищенности необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе, который обладает достаточными навыками должностного лица.
Для 2-го уровня защищенности дополнительно необходимо выполнение требования о том, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных обязанностей.
Для 1-го уровня защищенности необходимо дополнительно оборудовать окна помещений, расположенных на первых и последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения. Так же оборудовать окна и двери помещений, в которых размещены серверы информационной системы. Существуют и другие дополнительные требования.
Для используемых СКЗИ определены требования к используемому классу в зависимости от уровня защищенности и типа актуальных угроз. Определить соответствие классов СКЗИ можно с помощью следующей таблицы.