Фрагмент документа "ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О МЕТОДАХ И СПОСОБАХ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ".
I. Общие положения
1.1. Настоящее Положение разработано в соответствии с Положением
об обеспечении безопасности персональных данных при их обработке в
информационных системах персональных данных, утвержденным
Постановлением Правительства Российской Федерации от 17 ноября 2007 г.
N 781 (Собрание законодательства Российской Федерации, 2007, N 48, ст.
6001), и устанавливает методы и способы защиты информации, применяемые
для обеспечения безопасности персональных данных при их обработке в
информационных системах персональных данных (далее - информационные
системы) государственными органами, муниципальными органами,
юридическими или физическими лицами, организующими и (или)
осуществляющими обработку персональных данных, а также определяющими
цели и содержание обработки персональных данных (далее - оператор),
или лицом, которому на основании договора оператор поручает обработку
персональных данных (далее - уполномоченное лицо).
В настоящем Положении не рассматриваются вопросы обеспечения
безопасности персональных данных, отнесенных в установленном порядке к
сведениям, составляющим государственную тайну, а также вопросы
применения криптографических методов и способов защиты информации.
1.2. К методам и способам защиты информации в информационных
системах относятся:
методы и способы защиты информации, обрабатываемой техническими
средствами информационной системы, от несанкционированного, в том
числе случайного, доступа к персональным данным, результатом которого
может стать уничтожение, изменение, блокирование, копирование,
распространение персональных данных, а также иных несанкционированных
действий (далее - методы и способы защиты информации от
несанкционированного доступа);
методы и способы защиты речевой информации, а также информации,
представленной в виде информативных электрических сигналов, физических
полей, от несанкционированного доступа к персональным данным,
результатом которого может стать копирование, распространение
персональных данных, а также иных несанкционированных действий (далее
- методы и способы защиты информации от утечки по техническим
каналам).
1.3. Для выбора и реализации методов и способов защиты информации
в информационной системе оператором или уполномоченным лицом может
назначаться структурное подразделение или должностное лицо (работник),
ответственные за обеспечение безопасности персональных данных.
Для выбора и реализации методов и способов защиты информации в
информационной системе может привлекаться организация, имеющая
оформленную в установленном порядке лицензию на осуществление
деятельности по технической защите конфиденциальной информации.
1.4. Выбор и реализация методов и способов защиты информации в
информационной системе осуществляются на основе определяемых
оператором (уполномоченным лицом) угроз безопасности персональных
данных (модели угроз) и в зависимости от класса информационной
системы, определенного в соответствии с Порядком проведения
классификации информационных систем персональных данных, утвержденным
Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13
февраля 2008 г. N 55/86/20 (зарегистрирован Минюстом России 3 апреля
2008 г., регистрационный N 11462).
Модель угроз разрабатывается на основе методических документов,
утвержденных в соответствии с пунктом 2 Постановления Правительства
Российской Федерации от 17 ноября 2007 г. N 781.
1.5. Выбранные и реализованные методы и способы защиты информации
в информационной системе должны обеспечивать нейтрализацию
предполагаемых угроз безопасности персональных данных при их обработке
в информационных системах в составе создаваемой оператором
(уполномоченным лицом) системы защиты персональных данных.
|
Фрагмент документа "ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О МЕТОДАХ И СПОСОБАХ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ".