Соответствие требованиям законодательства в области защиты информации
Исходя из части 2, статьи 3 Закона №149 ФЗ ограничение доступа к информации, циркулирующей в комплексе видеонаблюдения (совокупности видеокамер, телекоммуникационного и другого оборудования) устанавливается федеральными законами. Учитывая состав и характер информации (информация ограниченного доступа, за исключением сведений составляющих государственную тайну, а также информация о фактах, событиях и обстоятельствах частной жизни гражданина, а также фотографические изображения граждана, которые, с учетом высоких технических характеристик устанавливаемого оборудования, позволяют идентифицировать его личность и в дальнейшем могут быть использованы для его идентификации) она отнесена к конфиденциальной (в том числе, персональные данные). Требования по защите конфиденциальной информации, содержащейся в государственных (муниципальных) информационных ресурсах, устанавливаются «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации» (СТР-К) и обязательны к исполнению (пункт 2.2 части 2 СТР-К). Актуальность выполнения требований СТР-К также обозначена в информационном сообщении ФСТЭК от 15 июля 2013 г. N 240/22/2637. Требования защиты персональных данных (в частности включения системы защиты информации в комплекс видеонаблюдения и комплекс-видеофиксации) субъектов обусловлены частью 2 статьи 9 Закона №149ФЗ, а также статьей 18.1 и статьей 19 Федерального закона №152 «О защите персональных данных».
Таким образом, в соответствии с нормами действующего законодательства Российской Федерации в области защиты информации, система информационной безопасности должна обеспечивать:
1) предотвращение несанкционированного доступа (НСД) к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации (НСД);
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа (НСД) к ней;
6) постоянный контроль за обеспечением уровня защищенности информации.
В части работ по технической защите конфиденциальной (в том числе, монтажу средств защиты информации (СЗИ), подключению автоматизированных рабочих мест, разработке организационных мер по защите информации) информации необходимо соблюдать требования следующих нормативных документов:
1) В части общих требований:
- Федеральный закон Российской Федерации от 08 июня 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон Российской Федерации от 09 февраля 2009 года
№ 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»;
- Федеральный закон Российской Федерации от 27 июля 2010 года
№ 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
- Указ Президента Российской Федерации от 17 марта 2008 года № 351
«О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
- Приказ Федеральной службы охраны Российской Федерации от 07 августа 2009 года № 487 «Об утверждении положения о сегменте информационно-телекоммуникационной сети интернет для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации»;
- ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
- ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;
- ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;
- ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»;
- ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»;
- ГОСТ Р 53131-2008 «Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения»;
- Руководящий документ 50-34.698-90 «Автоматизированные системы (АС). Требования к содержанию документов»;
- Руководящий документ «Автоматизированные системы (АС). Защита от Несанкционированного доступа (НСД) к информации. Классификация АС и требования по защите информации», Гостехкомиссия России, 1998 год;
- Руководящий документ «Средства вычислительной техники (СВТ). Защита от НСД к информации. Показатели защищённости от НСД к информации». Гостехкомиссия России, 1998 год;
- Руководящий документ «Защита от НСД к информации, ч. 1. «Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», Гостехкомиссия России, 1999 год;
- Руководящий документ «Средства вычислительной техники (СВТ). Межсетевые экраны (МЭ). Защита от несанкционированного доступа (НСД) к информации. Показатели защищенности от несанкционированного доступа к информации (НСД)», Гостехкомиссия России, 1997 год;
- Руководящий документ «Системы обнаружения вторжений. Показатели безопасности и требования к системам обнаружения вторжений», ФСТЭК России, 2011 год.
2) В части защиты конфиденциальной информации:
- Постановление Правительства Российской Федерации от 15.05.2010 № 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)»;
- Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 3 ноября 1994 года № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного доступа в федеральных органах исполнительной власти»;
- Приказ Гостехкомиссии России от 30 августа 2002 года № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К);
- ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем (АС) в защищенном исполнении»;
- ГОСТ Р 51624-2000 «Защита информации Автоматизированные системы в защищенном исполнении»;
В части защиты персональных данных:
- Федеральный закон Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (ИСПДн);
- Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
- Приказ ФСТЭК России от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации не составляющей государственную тайну, содержащейся в государственных информационных системах» (ГИС);
- Приказ ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (ИСПДн);
- Руководящий документ ФСТЭК России от 15 февраля 2008 года «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (ИСПДн);
- Руководящий документ ФСТЭК России от 15 февраля 2008 года «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (ИСПДн);
- Постановление Правительства Российской Федерации от 15.05.2010 №330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)».
3) В части обеспечения защиты информации, размещаемой в общедоступных информационных (информационно-телекомуникационных) системах:
- Постановление Правительства Российской Федерации от 18 мая 2009 года № 424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным системам»;
- Совместный приказ от 31 августа 2010 года ФСБ России № 416 и ФСТЭК России № 489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»;
- Приказ Министерства связи и массовых коммуникаций Российской Федерации от 25 августа 2009 года № 104 «Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»;
- Федеральный закон Российской Федерации от 9 февраля 2009 г. N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления";
4) В части защиты информации, размещаемой в ключевых системах информационной инфраструктуры (КСИИ):
- Руководящий документ утвержденный Секретарем Совета Безопасности от 08 ноября 2005 «Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий»;
- Руководящий документ ФСТЭК России от 18 мая 2007 года «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» (КСИИ);
- Руководящий документ ФСТЭК России от 18 мая 2007 года «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» (КСИИ);
- Руководящий документ ФСТЭК России от 18 мая 2007 года «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (КСИИ);
- Руководящий документ ФСТЭК России от 18 мая 2007 года «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (КСИИ);
5) В части обеспечения межведомственного взаимодействия:
- Постановление Правительства Российской Федерации от 07 июля 2011 года № 552 «О порядке предоставления федеральным органам исполнительной власти и государственными внебюджетными фондами доступа к своим информационным системам в части информации, необходимой для выпуска, выдачи и обслуживания универсальных электронных карт»;
- Постановление Правительства Российской Федерации от 22 сентября 2009 года № 754 «Об утверждении положения о системе межведомственного электронного документооборота»;
- Постановление Правительства Российской Федерации от 02 октября 2009 года № 1403-р «Технические требования к организации взаимодействия системы межведомственного электронного документооборота с системами электронного документооборота федеральных органов исполнительной власти»;
- Постановление Правительства Российской Федерации от 08 сентября 2010 года № 697 «О единой системе межведомственного электронного взаимодействия»;
- Приказ Министерства связи и массовых коммуникаций Российской Федерации от 27 декабря 2009 года № 190 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия».