152

152-ФЗ "О персональных данных"

Статья 18.1 пункт 3:

Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

ПП РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Пункт 4 «Требований к защите персональных данных при их обработке в информационных системах персональных данных»:

Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".

Приказ ФСТЭК РФ от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Защита информационной системы, ее средств, систем связи и передачи данных (3ИС):

Мера ЗИС.3 определена в базовом наборе мер по обеспечению безопасности персональных данных для любого уровня защищенности персональных данных (выполняется всегда, когда есть передача за пределы контролируемой зоны).

Мера ЗИС.3 гласит:

Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.

Методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» утв. ФСТЭК России 11.02.2014 г.

Методический документ детализирует организационные и технические меры защиты информации, описанные в 17 и 21 приказах ФСТЭК России:

Оператором должна быть обеспечена защита информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны.

Защита информации обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации или иными методами.

Приказ ФСТЭК РФ от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Пункт 1 «Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»:

В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.

Обращаемся к нормативно-правовым актам Федеральной службы безопасности Российской Федерации, которые говорят нам какие СКЗИ использовать:

Приказ ФСБ РФ от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн..."

Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. руководством 8 центра ФСБ РФ 21.02.2008 N 149/54-144)