Утвержден новый приказ ФСБ России, определяющий порядок работы с криптографическими средствами защиты информации в информационных системах персональных данных.

Многие, анализируя приказы ФСТЭК России №21 от 18.02.2013 и №17 от 11.02.2013 для государственных информационных систем, обращали внимание, что в данных документах не рассматриваются меры по защите информации, связанные с применением шифровальных (криптографических) средств. Ответом на подобные вопросы стал приказ №378 от 10.07.2014 ФСБ России – регулятора в области использования криптографических средств защиты информации.

Приложением к данному приказу является «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Необходимо отметить, что в данном приказе в явном виде приведено требование по использованию именно сертифицированных ФСБ России средств криптографической защиты информации. Ранее необходимость использования в информационных системах средств защиты информации, прошедших в установленном порядке оценку соответствия, определялась статьей 19 ФЗ-152 «О персональных данных», что не указывает в явном виде на необходимость сертификации.

Вместе с этим, данный документ предъявляет ряд более структурированных, чем ранее, требований организационного и технического характера к использованию средств криптографической защиты информации. К сожалению, ряд мероприятий сложен к выполнению и пониманию сотрудниками, чьи должностные обязанности предполагают работу с шифровальными средствами защиты информации. В связи с этим, особенно важным является формирование модели угроз безопасности персональных данных. Своей логикой данный документ призван учесть специфику деятельности организации и грамотно организовать процесс выполнения требований законодательства.

7И хотя данный приказ еще ждет окончательного ввода в действие, ООО «Институт безопасности» настойчиво рекомендует меры по его выполнению принять заранее, что позволит уменьшить риск применения санкций со стороны государственного регулятора.