Федеральный закон Российской Федерации
от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных» (далее – «Закон»)

Краткие факты

Дата вступления Закона в силу: 27.07.2006 г. 

  1. Что Закон требует защищать?

    Персональные данные (ПД).

    Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

  2. Какие категории ПД подлежат защите согласно Постановлению Правительства Российской Федерации от 1 ноября 2012 г. № 1119, Приказу ФСТЭК РФ № 21?

    Согласно ПП РФ №1119 подлежат защите специальные, биометрические, общедоступные и иные персональные данные. При этом персональными данными согласно 152-ФЗ являются в том числе "фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии".

    Согласно Приказу ФСТЭК РФ № 21 "в состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий" должны входить такие меры, как

    • идентификация и аутентификация субъектов доступа и объектов доступа;
    • управление доступом субъектов доступа к объектам доступа;
    • ограничение программной среды;
    • защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
    • регистрация событий безопасности;
    • антивирусная защита;
    • обнаружение (предотвращение) вторжений;
    • контроль (анализ) защищенности персональных данных;
    • обеспечение целостности информационной системы и персональных данных;
    • обеспечение доступности персональных данных;
    • защита среды виртуализации;
    • защита технических средств;
    • защита информационной системы, ее средств, систем связи и передачи данных;

    Согласно вышеуказанным требованиям все компании должны защищать персональные данные, а также использовать антивирусную защиту.

    Dr.Web Enterprise Security Suite совмещает в своем составе возможности антивируса, файрвола, системы ограничения доступа к защищаемым данным. Возможности Dr.Web Enterprise Security Suite позволяют регистрировать события безопасности, обеспечивать защиту сменных носителей информации и многое другое.

    Грамотное использование Dr.Web Enterprise Security Suite дает возможность существенно снизить затраты на выполнение требований по защите персональных данных!

  3. Кто должен защищать персональные данные?

    В соответствии со ст. 19 Закона «О персональных данных», оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Соответственно, защищать персональные данные должен Оператор ИСПД.

    «Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных».

    Вывод

    Любая компания или организация, имеющая контакты с юридическими и/или с физическими лицами, должна защищать ПД таких лиц в том случае, если этих данных достаточно для персонализации. Как показывает практика, большинство компаний имеют и хранят такие данные.

  4. Где требуется защищать ПД?

    Согласно Приказу ФСТЭК РФ № 21 для обеспечения 1 и 2 уровней защищенности персональных данных средства антивирусной защиты применяются в обязательном порядке. Для обеспечения 3 уровня защищенности используются средства антивирусной защиты не ниже 4 класса защиты:

    • в случае актуальности угроз 2-го типа
    • взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена

    Средства антивирусной защиты должны применяться даже в случае актуальности угроз только 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена (сетью Интернет).

    Вывод

    ИСПДн для любой компании или организации, хранящей или обрабатывающей персональные данные, имеющей подключения к открытым сетям или предусматривающей обмен данными, обязательно обеспечение защиты от атак из внешних сетей, включая антивирусную защиту - и это необходимо даже при отсутствии выхода со станции или сервера в сеть Интернет.

  5. C какой целью сертифицируется антивирусное ПО согласно Закону?

    Ст. 19 Закона гласит, что "обеспечение безопасности персональных данных достигается, в частности:... применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации "

    Согласно Приказу ФСТЭК РФ № 21 "для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей"

  6. Как классифицировать информационную систему?

    Согласно Приказу ФСТЭК РФ № 21 "Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:

    • определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных в соответствии с базовыми наборами мер по обеспечению безопасности персональных данных, приведенными в приложении к настоящему документу;
    • адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
    • уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;
    • дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.

    10. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

    В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных."

    Вывод

    Компании и организации, обеспечивающие защиту персональных данных самостоятельно выбирают меры защиты информации соответственно необходимое программное обеспечение.

    Грамотное использование Dr.Web Enterprise Security Suite дает возможность существенно снизить затраты на выполнение требований по защите персональных данных путем исключения продуктов с избыточным функционалом!

  7. Другие требования в области обеспечения защиты персональных данных

    Выдержки из Приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Методического документа от 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах»

    Использование антивирусной защиты Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации
    Использование антивирусной защиты везде, где только могут быть внедрены вредоносные программы Реализация антивирусной защиты должна предусматривать ... применение средств антивирусной защиты на:
    • автоматизированных рабочих местах,
    • серверах,
    • периметральных средствах защиты информации (средствах межсетевого экранирования, прокси-серверах, почтовых шлюзах и других средствах защиты информации),
    • мобильных технических средствах
    • иных точках доступа в информационную систему,

    подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования (вложения электронной почты, веб- и другие сетевые сервисы);

    Использование централизованного управления

    Реализация антивирусной защиты должна предусматривать ... установку, конфигурирование и управление средствами антивирусной защиты;

    централизованное управление (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты) средствами антивирусной защиты, установленными на компонентах информационной системы (серверах, автоматизированных рабочих местах);

    оповещение администраторов безопасности в масштабе времени, близком к реальному, об обнаружении вредоносных компьютерных программ (вирусов);

    Использование функций Офисного контроля Реализация антивирусной защиты должна предусматривать ... запрет использования съемных машинных носителей информации, которые могут являться источниками вредоносных компьютерных программ (вирусов);
    Защита всех виртуальных рабочих станций и серверов должны обеспечиваться реализация и управление антивирусной защитой в виртуальной инфраструктуре ...

    должны обеспечиваться ...

    • проверка наличия вредоносных программ (вирусов) в хостовой операционной системе, включая контроль файловой системы, памяти, запущенных приложений и процессов;
    • проверка наличия вредоносных программ в гостевой операционной системе, в процессе ее функционирования, включая контроль файловой системы, памяти, запущенных приложений и процессов.
    Централизованное управление должна обеспечиваться реализация технологии обновления программного обеспечения и баз данных признаков компьютерных вирусов средств антивирусной защиты, предусматривающая однократную передачу обновлений на сервер виртуальной инфраструктуры для их последующего применения в виртуальных машинах
    Защита сменных носителей и смартфонов

    Оператором должна осуществляться защита применяемых в информационной системе мобильных технических средств.

    К мобильным техническим средствам относятся съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные носители), а также портативные вычислительные устройства и устройства связи с возможностью обработки информации (например, ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные средства).

    Защита мобильных технических средств включает:

    • Реализацию в зависимости от мобильного технического средства (типа мобильного технического средства) мер по ... ограничению программной среды ..., регистрации событий безопасности ... , антивирусной защите...
    • запрет возможности автоматического запуска (без команды пользователя) в информационной системе программного обеспечения на мобильных технических средствах.
    Использование антивирусной защиты на уровне шлюза оператором должно обеспечиваться применение технических средств защиты периметра уровня узла, устанавливаемых на портативные вычислительные устройства;
  8. Ответственность за нарушение требований Федерального закона «О персональных данных»

    «Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность».