Информационное сообщение ФСТЭК России по 17 и 21 приказам (часть 3)

Добрый день, дорогие читатели! Представляю Вашему вниманию третью и завершающую часть цикла постов об информационном сообщении ФСТЭК.
1 часть здесь.
2 часть здесь.

7 вопрос. Какие требования предъявляются к средствам защиты персональных данных? Каким образом отражается соответствие средств защиты информации?

В государственных информационных системах 1 и 2 классов защищенности и в информационных системах персональных данных 1, 2 уровней защищенности и 3 уровня защищенности, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

Выбор классов защиты сертифицированных средств защиты информации осуществляется в соответствии с пунктом 26 Требований, утвержденных приказом ФСТЭК России N 17, и пунктом 12 Состава и содержания мер, утвержденных приказом ФСТЭК N 21.

Соответствие уровню контроля отсутствия недекларированных возможностей указывается в сертификатах соответствия требованиям по безопасности информации на эти средства защиты информации.

Возможность применения в государственных информационных системах соответствующего класса защищенности средств защиты информации, сертифицированных на соответствие требованиям безопасности информации, установленным в технических условиях (заданиях по безопасности), указывается заявителем (разработчиком, производителем) в эксплуатационной и конструкторской документации на эти средства (формулярах и технических условиях).

8 вопрос. Необходимо ли применять дополнительные меры защиты для нейтрализации угроз безопасности персональных данных 1-го и 2-го типов?

В соответствии с пунктом 11 Приказа 21 операторами могут применяться дополнительные меры, связанные с тестированием информационной системы на проникновения и использованием в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования. Указанные меры не являются обязательными и применяются по решению оператора, к тому же до разработки и утверждения ФСТЭК России методических документов по реализации указанных мер порядок их применения определяется оператором самостоятельно.

9 вопрос. Планируется ли разработка нормативных документов в целях реализации Требований, утвержденных приказом ФСТЭК N 17?

Приказ N 21 издан во исполнение части 4 статьи 19 Федерального закона «О персональных данных». Указанным Федеральным законом разработка ФСТЭК России иных документов по обеспечению безопасности персональных данных, в том числе по моделированию угроз безопасности персональных данных, не предусмотрена. Определение типов угроз безопасности персональных данных осуществляется оператором в соответствии остановлением Правительства N 1119.

ФСТЭК России завершается разработка методических документов по описанию содержания мер защиты информации в информационных системах и порядку моделирования угроз безопасности информации в информационных системах. Ориентировочный срок утверждения документов – IVквартал 2013 г. Так как рекомендации ФСТЭК написаны в 2013 году, об утвержденном документе говорится в будущем времени: ссылка.

Планируется разработка методических документов, определяющих порядок обновления программного обеспечения в аттестованных информационных системах, порядок выявления и устранения уязвимостей в информационных системах, порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации, а также ряда других методических документов, направленных на реализацию требований, утвержденных приказом N 17.