[megalight]

Приказ ФТС РФ № 1611 от 2015-08-11 16:17:45
Об утверждении требований по обеспечению безопасности персональных данных в таможенных органах Российской Федерации, организациях, находящихся в ведении ФТС России, при их обработке в информационных системах персональных данных таможенных органов Российской Федерации

В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31 (ч. I), ст. 3451; 2009, № 48, ст. 5716; № 52 (ч. I), ст. 6439; 2010, № 27, ст. 3407; №31, ст. 4173, ст. 4196; № 49, ст. 6409; 2011, № 23, ст. 3263; № 31, ст. 4701; 2013, № 14, ст. 1651; № 30 (ч. I), ст. 4038; № 51, ст. 6683; 2014, № 23, ст. 2927; № 30 (ч. I), ст.4217) и постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (Собрание законодательства Российской Федерации, 2012, № 14, ст. 1626; 2013, № 30 (ч. II), ст. 4116; 2014, № 37, ст. 4967) приказываю:

1. Утвердить прилагаемые требования по обеспечению безопасности персональных данных в таможенных органах Российской Федерации, организациях, находящихся в ведении ФТС России, при их обработке в информационных системах персональных данных таможенных органов Российской Федерации.

2. Начальникам структурных подразделений ФТС России, региональных таможенных управлений, таможен, непосредственно подчиненных ФТС России, и руководителям учреждений, находящихся в ведении ФТС России, обеспечить доведение настоящего приказа до сведения подчиненных должностных лиц и работников.

3. Контроль за исполнением настоящего приказа возложить на статс-секретаря — заместителя руководителя ФТС России Т/Н. Голендееву.

Руководитель
действительный государственный советник таможенной службы Российской Федерации
А.Ю. Бельянинов

Приложение
к приказу ФТС России
от и августа 2015 г. №1611


Требования по обеспечению безопасности персональных данных в таможенных органах Российской Федерации, организациях, находящихся в ведении ФТС России, при их обработке в информационных системах персональных данных таможенных органов Российской Федерации


I. Общие положения

1. Настоящие требования разработаны в соответствии с постановлением
Правительства Российской Федерации от 1 ноября 2012 г. № 1119
«Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных» (Собрание законодательства
Российской Федерации, 2012, № 45, ст. 6257), приказом ФСТЭК России
от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных»
(зарегистрирован Минюстом России 14.05.2013, регистрационный № 28375).

Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн) таможенных органов Российской Федерации, организациях, находящихся в ведении ФТС России (далее - таможенные органы), принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, обрабатываемых в ИСПДн таможенных органов.

Настоящие требования не распространяются на вопросы обеспечения безопасности персональных данных в таможенных органах, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.

Настоящие требования обязательны для выполнения всеми должностными лицами таможенных органов, в чьи служебные и должностные обязанности входит обработка персональных данных в ИСПДн таможенных органов.


II. Обеспечение безопасности персональных данных в таможенных органах при их обработке в ИСПДн таможенных органов


2. Безопасность персональных данных при их обработке в ИСПДн
таможенных органов обеспечивает оператор или лицо, осуществляющее
обработку персональных данных по поручению оператора, в соответствии с
законодательством Российской Федерации.

Для выполнения работ по обеспечению безопасности персональных данных при их обработке в ИСПДн таможенных органов в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

Меры по обеспечению безопасности персональных данных в таможенных органах реализуются в ИСПДн таможенных органов при ее создании в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных в таможенных органах.

Меры по обеспечению безопасности персональных данных в таможенных органах реализуются в том числе посредством применения в ИСПДн таможенных органов средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.), Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (утвержден решением Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114), в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных в таможенных органах.

Безопасность персональных данных в таможенных органах при их обработке в ИСПДн таможенных органов обеспечивается посредствам:


определения в соответствии с требованиями Методики определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14 февраля 2008 года, и с учетом проведения оценки возможного вреда угроз безопасности персональных данных в таможенных органах в части типа актуальных угроз безопасности персональных данных в таможенных органах и необходимого уровня защищенности персональных данных в таможенных органах;

определения состава и содержания мер по обеспечению безопасности персональных данных в таможенных органах, выбора средств защиты информации ИСПДн таможенных органов. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн, а также с учетом экономической целесообразности в ФТС России на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных таможенных органов. В этом случае в ходе разработки средств защиты информации ИСПДн таможенных органов проводится обоснование применения компенсирующих мер для обеспечения безопасности персональных данных в таможенных органах;

оценки эффективности принимаемых и реализованных мер по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн таможенных органов. Оценка эффективности реализованных мер по обеспечению безопасности персональных данных в таможенных органах в рамках системы защиты ИСПДн таможенных органов проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года;

учета, защиты машинных носителей персональных данных в таможенных органах (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) для исключения возможности несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированного использования съемных машинных носителей персональных данных в таможенных органах;

обнаружения действий в ИСПДн таможенных органов, направленных на несанкционированный доступ к информации, специальные воздействия на ИСПДн таможенных органов и (или) персональные данные в таможенных органах в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным в таможенных органах, а также реагирование на эти действия;

обеспечения целостности ИСПДн таможенных органов и персональных данных, обрабатываемых в ИСПДн таможенных органов. Обеспечение целостности должно гарантировать обнаружение фактов несанкционированного нарушения целостности ИСПДн таможенных органов и содержащихся в ней персональных данных, а также возможность восстановления ИСПДн таможенных органов и содержащейся в ней персональных данных;

обеспечения управления правами и привилегиями субъектов доступа, разграничения доступа субъектов доступа к объектам доступа на основе совокупности установленных в ИСПДн таможенных органов правил разграничения доступа, а также обеспечения контроля за соблюдением этих правил;

регистрации событий безопасности, которая должна обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в ИСПДн таможенных органов, а также возможность просмотра и анализа информации о таких событиях и реагирование на них;

защиты технических средств, которая должна исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные в таможенных органах, средствам, обеспечивающим функционирование ИСПДн таможенных органов, и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.

Контроль за принимаемыми мерами по обеспечению безопасности персональных данных в таможенных органах, обрабатываемых в ИСПДн таможенных органов, уровня защищенности ИСПДн таможенного органа возлагается на подразделения информационной безопасности и технической защиты информации соответствующего таможенного органа

Начальник Главного управления информационных технологий
Д.В.Данилин