Приказ ФТС России от 11.08.2015 г. № 1611 «Об утверждении требований по обеспечению безопасности персональных данных в таможенных органах Российской Федерации, организациях, находящихся в ведении ФТС России, при их обработке в информационных системах персональных данных таможенных органов Российской Федерации»
Приказ ФТС России от 11.08.2015 г. № 1611 «Об утверждении требований по обеспечению безопасности персональных данных в таможенных органах Российской Федерации, организациях, находящихся в ведении ФТС России, при их обработке в информационных системах персональных данных таможенных органов Российской Федерации»
ФЕДЕРАЛЬНАЯ ТАМОЖЕННАЯ СЛУЖБА
ПРИКАЗ
от 11 августа 2015 г. N 1611
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ТАМОЖЕННЫХ ОРГАНАХ РОССИЙСКОЙ ФЕДЕРАЦИИ, ОРГАНИЗАЦИЯХ, НАХОДЯЩИХСЯ В ВЕДЕНИИ ФТС РОССИИ, ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ТАМОЖЕННЫХ ОГАНОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31 (ч. I), ст. 3451; 2009, № 48, ст. 5716; № 52 (ч. I), ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; 2011, № 23, ст. 3263; № 31, ст. 4701; 2013, № 14, ст. 1651; № 30 (ч. I), ст. 4038; № 51, ст. 6683; 2014, № 23, ст. 2927; № 30 (ч. I), ст.4217) и постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (Собрание законодательства Российской Федерации, 2012, № 14, ст. 1626; 2013, № 30 (ч. II), ст. 4116; 2014, № 37, ст. 4967) п р и к а з ы в а ю:
1. Утвердить прилагаемые требования по обеспечению безопасности персональных данных в таможенных органах Российской Федерации, организациях, находящихся в ведении ФТС России, при их обработке в информационных системах персональных данных таможенных органов Российской Федерации.
2. Начальникам структурных подразделений ФТС России, региональных таможенных управлений, таможен, непосредственно подчиненных ФТС России, и руководителям учреждений, находящихся в ведении ФТС России, обеспечить доведение настоящего приказа до сведения подчиненных должностных лиц и работников.
3. Контроль за исполнением настоящего приказа возложить на статс-секретаря – заместителя руководителя ФТС России Т.Н. Голендееву.
Руководитель
действительный государственный советник
таможенной службы Российской Федерации А.Ю. Бельянинов
Приложение к приказу ФТС России
от 11 августа 2015 г. № 1611
Требования по обеспечению безопасности персональных данных
в таможенных органах Российской Федерации, организациях, находящихся в ведении ФТС России,
при их обработке в информационных системах персональных данных таможенных органов Российской Федерации
I. Общие положения
1. Настоящие требования разработаны в соответствии c постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2012, № 45, ст. 6257), приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (зарегистрирован Минюстом России 14.05.2013, регистрационный № 28375).
Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) таможенных органов Российской Федерации, организациях, находящихся в ведении ФТС России (далее – таможенные органы), принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, обрабатываемых в ИСПДн таможенных органов.
Настоящие требования не распространяются на вопросы обеспечения безопасности персональных данных в таможенных органах, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.
Настоящие требования обязательны для выполнения всеми должностными лицами таможенных органов, в чьи служебные и должностные обязанности входит обработка персональных данных в ИСПДн таможенных органов.
II. Обеспечение безопасности персональных данных в таможенных органах при их обработке в ИСПДн таможенных органов
2. Безопасность персональных данных при их обработке в ИСПДн таможенных органов обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора, в соответствии с законодательством Российской Федерации.
Для выполнения работ по обеспечению безопасности персональных данных при их обработке в ИСПДн таможенных органов в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.
3. Меры по обеспечению безопасности персональных данных в таможенных органах реализуются в ИСПДн таможенных органов при ее создании в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных в таможенных органах.
4. Меры по обеспечению безопасности персональных данных в таможенных органах реализуются в том числе посредством применения в ИСПДн таможенных органов средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.), Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (утвержден решением Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114), в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных в таможенных органах.
5. Безопасность персональных данных в таможенных органах при их обработке в ИСПДн таможенных органов обеспечивается посредствам:
1) определения в соответствии с требованиями Методики определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14 февраля 2008 года, и с учетом проведения оценки возможного вреда угроз безопасности персональных данных в таможенных органах в части типа актуальных угроз безопасности персональных данных в таможенных органах и необходимого уровня защищенности персональных данных в таможенных органах;
2) определения состава и содержания мер по обеспечению безопасности персональных данных в таможенных органах, выбора средств защиты информации ИСПДн таможенных органов. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн, а также с учетом экономической целесообразности в ФТС России на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных таможенных органов. В этом случае в ходе разработки средств защиты информации ИСПДн таможенных органов проводится обоснование применения компенсирующих мер для обеспечения безопасности персональных данных в таможенных органах;
3) оценки эффективности принимаемых и реализованных мер по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн таможенных органов. Оценка эффективности реализованных мер по обеспечению безопасности персональных данных в таможенных органах в рамках системы защиты ИСПДн таможенных органов проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года;
4) учета, защиты машинных носителей персональных данных в таможенных органах (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) для исключения возможности несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированного использования съемных машинных носителей персональных данных в таможенных органах;
5) обнаружения действий в ИСПДн таможенных органов, направленных на несанкционированный доступ к информации, специальные воздействия на ИСПДн таможенных органов и (или) персональные данные в таможенных органах в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным в таможенных органах, а также реагирование на эти действия;
6) обеспечения целостности ИСПДн таможенных органов и персональных данных, обрабатываемых в ИСПДн таможенных органов. Обеспечение целостности должно гарантировать обнаружение фактов несанкционированного нарушения целостности ИСПДн таможенных органов и содержащихся в ней персональных данных, а также возможность восстановления ИСПДн таможенных органов и содержащейся в ней персональных данных;
7) обеспечения управления правами и привилегиями субъектов доступа, разграничения доступа субъектов доступа к объектам доступа на основе совокупности установленных в ИСПДн таможенных органов правил разграничения доступа, а также обеспечения контроля за соблюдением этих правил;
8) регистрации событий безопасности, которая должна обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в ИСПДн таможенных органов, а также возможность просмотра и анализа информации о таких событиях и реагирование на них;
9) защиты технических средств, которая должна исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные в таможенных органах, средствам, обеспечивающим функционирование ИСПДн таможенных органов, и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.
6. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных в таможенных органах, обрабатываемых в ИСПДн таможенных органов, уровня защищенности ИСПДн таможенного органа возлагается на подразделения информационной безопасности и технической защиты информации соответствующего таможенного органа.
