Приказ ФСТЭК России от 18 февраля 2013 г. № 21

Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Ключевые выдержки из приказа ФСТЭК России № 21 от 18 февраля 2013 г.:

1) Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

2) В настоящем документе рассматриваются меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах.

3) В состав мер по обеспечению безопасности персональных данных входит:

• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
• регистрация событий безопасности;
• антивирусная защита;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности персональных данных;
• обеспечение целостности информационной системы и персональных данных;
• обеспечение доступности персональных данных;
• защита среды виртуализации;
• защита технических средств;
• защита информационной системы, ее средств, систем связи и передачи данных;
• выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
• управление конфигурацией информационной системы и системы защиты персональных данных.

4) Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.

5) Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

6) Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.

7) Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.

8) Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.

Источник

Срок действия не ограничен

Ответственность:

• Статья 19.7 КоАП РФ: Непредставление или несвоевременное представление в уполномоченный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление таких сведений (информации) в неполном объеме или в искаженном виде
• Статья 5.39 КоАП РФ: Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации
• Часть 1 и 1.1 ст. 13.1 КоАП РФ: Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора персональных данных
• Часть 2 и 2.1 ст. 13.11 КоАП РФ: Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, либо обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в такое согласие
• Часть 3 ст. 13.11 КоАП РФ: Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных
• Часть 4 ст. 13.11 КоАП РФ: Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
• Часть 5 и 5.1 ст. 13.11 КоАП РФ: Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
• Часть 6 ст. 13.11 КоАП РФ: Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния
• Часть 7 ст. 13.11 КоАП РФ: Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных
• Часть 8 и 9 ст. 13.11 КоАП РФ: Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ
• Статья 137 УК РФ: Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации
• Статья 140 УК РФ: Неправомерный отказ должностного лица в предоставлении собранных документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан
• Статья 272 УК РФ: Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации

Ответственные лица

• Руководители государственных органов (организаций)
• Зам. руководителя по ИБ

Дополнительные документы:

• Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
• Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

ИТ-решения, которые закрывают требования нормативных документов

• Indeed PAM превью Программно-аппаратный комплекс, реализующий централизованную политику контроля и управления привилегированным доступом.
• Indeed AM превью Программно-аппаратный комплекс, реализующий централизованные политики управления аутентификацией, технологию единой аутентификации во всех корпоративных сервисах и различные сценарии усиленной и многофакторной аутентификации.
• Indeed Certificate Manager превью Централизованная система управления инфраструктурой открытых ключей, поддерживающая аудит инфраструктуры PKI и интеграцию с различными сторонними системами
• Kaspersky Symphony XDR превью Мощная платформа для многоуровневого обнаружения атак, мониторинга, расследования, проактивного поиска угроз и реагирования на сложные инциденты.
• vGate превью Средство защиты компонентов виртуальной платформы.
• Континент 4 превью Универсальное устройство корпоративного уровня для всесторонней защиты сети (UTM) с поддержкой алгоритмов ГОСТ.
• Континент 3 превью Централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ.
• Континент ZTN превью Клиентское приложение для защищенного доступа в корпоративную сеть с удаленных персональных компьютеров и смартфонов сотрудников.
• Континент TLS превью Система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ.
• Secret Net LSP превью Сертифицированное средство защиты от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих под управлением дистрибутивов Linux.
• Secret Net Studio for Linux  превью Сертифицированное средство защиты от несанкционированного доступа к информационным ресурсам
• Secret Net Studio превью Защита данных и инфраструктуры серверов и рабочих станций
• Кибер Бэкап превью Надежное решение для резервного копирования с точной оценкой потенциальных уязвимостей и эффективной защитой от вредоносного ПО
• RedCheck превью Комплексное решение для анализа защищённости и управления ИБ для предприятий любого масштаба.
• R‑Vision SOAR превью Система агрегирует данные по инцидентам из множества источников, автоматизирует обогащение, реагирование и внедрение защитных мер, обеспечивает единое пространство для совместной работы ИБ-специалистов.
• R‑Vision SGRC превью Обеспечивает своевременное выявление рисков, облегчает контроль за соблюдением внешних требований и помогает сформировать системы внутренней нормативной документации.
• R‑Vision SIEM превью Технология для централизованного управления событиями в информационных системах, обеспечивающая безопасность и целостность бизнеса.
• R‑Vision TDP превью Комплекс технологий цифровой имитации элементов ИТ-инфраструктуры для обнаружения злоумышленников, проникших в корпоративную сеть, замедления их продвижения внутри сети и предотвращения развития атаки на ранних этапах.
• R‑Vision UEBA превью Осуществляет непрерывный мониторинг событий безопасности, анализируя данные из источников, включая системы Log Management, SIEM и конечные устройства.
• R‑Vision TIP превью Обеспечивает автоматический сбор, нормализацию и обогащение индикаторов компрометации, передачу обработанных данных напрямую на внутренние средства защиты, а также поиск и обнаружение индикаторов в инфраструктуре организации с помощью сенсоров.
• Staffcop Enterprise превью Программное обеспечение предназначено для обеспечения информационной безопасности и улучшения эффективности работы организаций и предприятий.
• ViPNet Administrator 4 превью Программный комплекс предназначен для настройки и управления виртуальной частной сетью.
• ViPNet Client 4/4U превью Решение, разработанное специально для защиты предприятий от сетевых атак с помощью фильтрации трафика.
• ViPNet Coordinator IG превью Индустриальный шлюз безопасности и межсетевой экран для защиты промышленных сетей.
• ViPNet Coordinator KB превью Модельный ряд шлюзов безопасности ViPNet, удовлетворяющий требованиям к средствам криптографической защиты информации по классу KB.
• ViPNet CSP 4 превью Инструмент для надежной криптографической защиты информации.
• ViPNet CSS Connect превью Приложение для защищенного общения корпоративных пользователей.
• ViPNet EndPoint Protection превью Система комплексной защиты рабочих станций и серверов, предназначенная для предотвращения «файловых», «бесфайловых» и сетевых атак, обнаружения вредоносных действий и реакции на эти действия.
• ViPNet HSM превью Высокопроизводительная программно-аппаратная криптографическая платформа в составе продуктовой линейки ViPNet PKI.
• ViPNet IDS 3 превью Сетевой сенсор обнаружения сетевых атак и вредоносного программного обеспечения в файлах, передаваемых в сетевом трафике, и предназначенный для интеграции в компьютерные сети с целью повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования.
• ViPNet IDS HS превью Система обнаружения вторжений, осуществляющая мониторинг и обработку событий внутри хоста.
• ViPNet PKI Client превью Универсальный программный комплекс, предназначенный для решения основных задач пользователя при работе с сервисами.
• ViPNet PKI Service превью Программно-аппаратный комплекс предназначенный для выполнения криптографических операций в прикладных сценариях информационных систем: генерации ключей, формирования и проверки электронной подписи (ЭП), шифрования данных.
• ViPNet Policy Manager 4 превью Система для централизованного управления политиками безопасности.
• ViPNet SafePoint превью Программное обеспечение, нацеленное на применение разграничительных.
• ViPNet Terminal 4 превью Решение позволяет организовать защищенный доступ к терминальному рабочему месту, которое представляет собой заданный для пользователя набор приложений.
• ViPNet TLS Gateway превью Шлюз безопасности, обеспечивающий аутентификацию пользователей и создание защищенных соединений в соответствии с TLS-протоколом.
• ViPNet Coordinator HW 4/5 превью Линейка шлюзов безопасности, нацеленных на построение виртуальной сети и обеспечения защиты при передаче информации.
• ViPNet Coordinator VA 4/5 превью Виртуальный шлюз безопасности для надежной защиты каналов связи.
• ViPNet xFirewall 5 превью Шлюз безопасности — межсетевой экран следующего поколения, который устанавливается на границе сети, обеспечивает фильтрацию трафика на всех уровнях, позволяет создать гранулированную политику безопасности на основе учетных записей пользователей и списка приложений.
• ViPNet L2-10G превью Программно-аппаратный комплекс (ПАК) ViPNet L2-10G – шлюз безопасности, который обеспечивает шифрование данных в канале Ethernet (темная оптика, MAN, WAN, выделенный канал).