152
152-ФЗ "О персональных данных"
Статья 18.1 пункт 3:
Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.
ПП РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
Пункт 4 «Требований к защите персональных данных при их обработке в информационных системах персональных данных»:
Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
Приказ ФСТЭК РФ от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Защита информационной системы, ее средств, систем связи и передачи данных (3ИС):
Мера ЗИС.3 определена в базовом наборе мер по обеспечению безопасности персональных данных для любого уровня защищенности персональных данных (выполняется всегда, когда есть передача за пределы контролируемой зоны).
Мера ЗИС.3 гласит:
Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.
Методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» утв. ФСТЭК России 11.02.2014 г.
Методический документ детализирует организационные и технические меры защиты информации, описанные в 17 и 21 приказах ФСТЭК России:
Оператором должна быть обеспечена защита информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны.
Защита информации обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации или иными методами.
Приказ ФСТЭК РФ от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Пункт 1 «Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»:
В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.
Обращаемся к нормативно-правовым актам Федеральной службы безопасности Российской Федерации, которые говорят нам какие СКЗИ использовать:
Приказ ФСБ РФ от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн..."
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. руководством 8 центра ФСБ РФ 21.02.2008 N 149/54-144)