Рекомендации фстэк по защите персональных данных

ПРОТОКОЛ ЗАСЕДАНИЯ КОМИССИИ ПО ВЫДАЧЕ ЗАКЛЮЧЕНИЯ О ВОЗМОЖНОСТИ (ЗАКЛЮЧЕНИЯ О НЕВОЗМОЖНОСТИ) ДОПУСКА ЛИЦ К ВЫПОЛНЕНИЮ РАБОТ, НЕПОСРЕДСТВЕННО СВЯЗАННЫХ С ОБЕСПЕЧЕНИЕМ ТРАНСПОРТНОЙ БЕЗОПАСНОСТИ

N  
Дата    

(место составления протокола)

Председательствующий: — специальное звание И.О. Фамилия

Члены комиссии:

специальное звание И.О. Фамилия

специальное звание И.О. Фамилия

специальное звание И.О. Фамилия

по результатам рассмотрения письменного запроса

(указывается заявитель и реквизиты письменного запроса)

руководствуясь подпунктами — пункта 16, Правил аттестации сил обеспечения транспортной безопасности, утвержденных постановлением Правительства Российской Федерации от 26 февраля 2015 г. N 172, Правил проверки субъектом транспортной инфраструктуры сведений в отношении лиц, принимаемых на работу, непосредственно связанную с обеспечением транспортной безопасности, или выполняющих такую работу, утвержденных постановлением Правительства Российской Федерации от 24 ноября 2015 г. N 1257, комиссия — решила:

1. Подготовить и представить начальнику (заместителю начальника) территориального органа МВД России проект заключения о возможности допуска к выполнению работ, непосредственно связанных с обеспечением транспортной безопасности, следующих лиц:

1)  
  (указывается фамилия, имя, отчество (при наличии), дата рождения, место жительства, серия и номер документа, удостоверяющего личность, дата его выдачи и наименование органа его выдавшего)
2)  
  (указывается фамилия, имя, отчество (при наличии), дата рождения, место жительства, серия и номер документа, удостоверяющего личность, дата его выдачи и наименование органа его выдавшего)

2. Подготовить и представить начальнику (заместителю начальника) территориального органа МВД России проект заключения о невозможности допуска к выполнению работ, непосредственно связанных с обеспечением транспортной безопасности, следующих лиц:

1)  
  (указывается фамилия, имя, отчество (при наличии), дата рождения, место жительства, серия и номер документа, удостоверяющего личность, дата его выдачи и наименование органа его выдавшего)
2)  
  (указывается фамилия, имя, отчество (при наличии), дата рождения, место жительства, серия и номер документа, удостоверяющего личность, дата его выдачи и наименование органа его выдавшего)

3. Подготовить и представить начальнику (заместителю начальника) территориального органа МВД России проект решения об аннулировании ранее выданного заключения о возможности допуска к выполнению работ, непосредственно связанных с обеспечением транспортной безопасности, следующих лиц:

1)  
  (указывается фамилия, имя, отчество (при наличии), дата рождения, место жительства, серия и номер документа, удостоверяющего личность, дата его выдачи и наименование органа его выдавшего, реквизиты ранее выданного заключения о допуске лица к выполнению работ, непосредственно связанных с обеспечением транспортной безопасности)
2)  
  (указывается фамилия, имя, отчество (при наличии), дата рождения, место жительства, серия и номер документа, удостоверяющего личность, дата его выдачи и наименование органа его выдавшего, реквизиты ранее выданного заключения о допуске лица к выполнению работ, непосредственно связанных с обеспечением транспортной безопасности)
Председатель: специальное звание И.О. Фамилия
 
Члены комиссии:  
специальное звание И.О. Фамилия
специальное звание И.О. Фамилия
специальное звание И.О. Фамилия

Приложение N 2 к Порядку выдачи органами внутренних дел Российской Федерации заключения о возможности (заключения о невозможности) допуска лиц к выполнению работ, непосредственно связанных с обеспечением транспортной безопасности

Рекомендуемый образец

Бланк территориального органа МВД России, осуществляющего выдачу заключения

Сложности при реализации рекомендаций ФСТЭК по защите персональных данных

Несмотря на четкость и ясность рекомендаций, при их реализации возникают некоторые сложные моменты, отмечаемые операторами и программистами. Среди них:

  • формулировки приказа № 21 часто неясны и размыты, написаны непрофессиональными программистами. Они допускают двойное толкование и часто не имеют необходимых пояснений;
  • неясно, может ли организация сама выполнять работы по настройке системы в отсутствие лицензии ФСТЭК или обязана привлекать для всех работ лицензированную организацию. Практика пошла по пути, разрешающему самостоятельную настройку системы защиты персональных данных даже при отсутствии лицензии;
  • необходимость проведения оценки системы защиты персональных данных раз в три года и отсутствие методики проведения такой оценки. Проверки ФСТЭК РФ по сути оценкой не являются.

Применение приказа ФСТЭК РФ

Выход документа в 2013 году был одобрен операторами персональных данных. До конкретизации требуемых мер операторы существовали в условиях неопределенности, не зная, насколько применяемые ими технические меры и средства защиты соответствуют предъявляемым требованиям. Документ полностью соответствовал требованиям момента и учитывал такие изменения в информационной среде, связанные с появлением новых технических средств, как:

  • виртуализация персональных данных;
  • облачное хранение;
  • мобильные платформы.

Но приказу были свойственны и недостатки. Он не требовал потратить определенные средства на защиту персональных данных в обязательном порядке, допуская выбор из существующего перечня, но некоторые нормы сообществом операторов были сочтены избыточными. Приказ ФСТЭК РФ ввел 15 групп технических и организационных мер по защите персональных данных, в каждой из групп указано от 2 до 20 отдельных решений. Для каждой меры устанавливалось, является ли она базовой или обязательной для применения или компенсирующей, необязательной, однако усиливающей уровень защиты. Существуют только компенсирующие меры, которые не будут базовыми ни для одного из четырех уровней защищенности.

О ПОРЯДКЕ ВЫДАЧИ ОРГАНАМИ ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ ЗАКЛЮЧЕНИЯ О ВОЗМОЖНОСТИ (ЗАКЛЮЧЕНИЯ О НЕВОЗМОЖНОСТИ) ДОПУСКА ЛИЦ К ВЫПОЛНЕНИЮ РАБОТ, НЕПОСРЕДСТВЕННО СВЯЗАННЫХ С ОБЕСПЕЧЕНИЕМ ТРАНСПОРТНОЙ БЕЗОПАСНОСТИ

(в ред. Приказа МВД РФ )

В соответствии с Правил аттестации сил обеспечения транспортной безопасности, утвержденных постановлением Правительства Российской Федерации от 26 февраля 2015 г. N 172 <1>, Правил проверки субъектом транспортной инфраструктуры сведений в отношении лиц, принимаемых на работу, непосредственно связанную с обеспечением транспортной безопасности, или выполняющих такую работу, утвержденных постановлением Правительства Российской Федерации от 24 ноября 2015 г. N 1257 <2>, — приказываю:

<1> Собрание законодательства Российской Федерации, 2015, N 10, ст. 1532.

<2> Собрание законодательства Российской Федерации, 2015, N 48, ст. 6839.

Утвердить прилагаемый Порядок выдачи органами внутренних дел Российской Федерации заключения о возможности (заключения о невозможности) допуска лиц к выполнению работ, непосредственно связанных с обеспечением транспортной безопасности.

Министр генерал полиции Российской Федерации В. КОЛОКОЛЬЦЕВ

Приложение к приказу МВД России от 21.12.2015 N 1203

Новости партнеров

06.10.2021  |  15:42

«Здоровая» сертификация для зданий и помещений Well начала внедряться в России

Стандарт Well включает 10 оцениваемых категорий: воздух, вода, питание, освещение, температурный комфорт, акустика, материалы, ментальное здоровье, общество и инновации.

06.10.2021  |  12:32

Онлайн-конференция «Труд. Защита. Безопасность! Горно-металлургический комплекс» пройдет 13 октября

В рамках деловой программы 25-й юбилейной международной выставки БИОТ-2021. 

06.10.2021  |  12:13

Оргкомитет Конференции «Формула транспортной безопасности. Закон. Знание.» в гостях у детей

Мероприятие ежегодно проходит при поддержке Минстранса России и Ространснадзора. Главным партнером выступает ПАО ГМК «Норильский никель».

05.10.2021  |  15:28

Цифровизация транспортного комплекса – технологии, безопасность, устойчивое развитие

Техническую политику внедрения и вектора развития ИТС, а также региональные практики развития ИТС и реальные технологические решения обсуждают на международном форуме и выставке «Интеллектуальные транспортные системы России: цифровая эра транспорта».

Нормативно-правовое регулирование

Федеральный закон «О персональных данных» предполагает, что сведения о гражданах, их личной жизни, имущественном статусе и здоровье, хранящиеся и обрабатываемые в информационных сетях, не могут неправомерно попадать в распоряжение третьих лиц. Несовершенство систем обработки информации часто приводит к утечкам важных сведений, в том числе персональных данных. Утечки могут быть и случайными, и преднамеренными. Чтобы избежать таких ситуаций, способных причинить ущерб гражданам, разрабатываются специальные требования к информационным системам. Для организаций, признанных в установленном законом порядке операторами персональных данных, технические требования к системам их обработки устанавливаются приказами ФСТЭК РФ.

Сейчас действует приказ № 21, вступивший в силу в 2013 году, определяющий технические и организационные меры по защите персональных данных. Он неоднократно дополнялся и изменялся, ориентируясь на требования момента. Последняя редакция была принята в 2017 году. В структуре документа, в приложении, определяющем состав мер, содержатся рекомендации, регулирующие:

  • идентификацию и аутентификацию лиц, которых операторы допускают к обработке персональных данных;
  • управление системой доступа к ним;
  • программную среду и ее ограничения;
  • физическую защиту компьютеров, содержащих информацию, относящуюся к персональным данным;
  • порядок регистрации инцидентов безопасности;
  • порядок организации антивирусной защиты;
  • способы фиксации проникновения в защищенный информационный периметр;
  • контроль защищенности персональных данных;
  • защиту технических средств.

Выбор мер организационной и технической защиты персональных данных зависит от класса защищенности информационной системы, определяемого по правилам, установленным Постановлением Правительства № 1119.

Действия оператора

После вступления в силу приказа ФСТЭК действия оператора стали более конкретными, чем до этого момента. Теперь без дополнительных консультаций, настраивая свою информационную систему защиты персональных данных, он вправе действовать по следующему алгоритму:

  • изучает Постановление Правительства Российской Федерации № 1119 и определение, под какой уровень защищенности попадает его система по защите персональных данных. Уровень зависит от количества человек, чьи данные обрабатываются, и их категории;
  • выбирает из редакций ФСТЭК России все те меры, которые для этого уровня защищенности отмечены плюсом (так называемые базовые меры, формально обязательные для применения);
  • исключает те меры, которые не могут быть применены в связи с отсутствием в распоряжении оператора соответствующих технологий (например, средств виртуализации);
  • изучает оставшиеся базовые меры и накладывает их на ранее разработанную модель актуальных угроз безопасности персональных данных. Если все угрозы базовыми мерами не охватываются, добавляет к ним некоторые из рекомендуемых компенсирующих;
  • формирует итоговый список мер;
  • составляет план-график их внедрения и приступает к его реализации.

Своими силами эта стратегия не всегда реализуема, и операторам приходится обращаться за приобретением услуг по настройке системы защиты персональных данных к профессиональным участникам рынка создания информационных систем.

ОБ АННУЛИРОВАНИИ ЗАКЛЮЧЕНИЯ

В соответствии с Правил аттестации сил обеспечения транспортной безопасности, утвержденных постановлением Правительства Российской Федерации от 26 февраля 2015 г. N 172, аннулируется ранее выданное заключение о допуске к выполнению работ, непосредственно связанных с обеспечением транспортной безопасности, следующих лиц:

1)  
  (указывается фамилия, имя, отчество (при наличии), дата рождения, место жительства, серия и номер документа, удостоверяющего личность, дата его выдачи и наименование органа его выдавшего, реквизиты ранее выданного заключения о допуске лица к выполнению работ, непосредственно связанных с обеспечением транспортной безопасности)
2)  
  (указывается фамилия, имя, отчество (при наличии), дата рождения, место жительства, серия и номер документа, удостоверяющего личность, дата его выдачи и наименование органа его выдавшего, реквизиты ранее выданного заключения о допуске лица к выполнению работ, непосредственно связанных с обеспечением транспортной безопасности)
       
Начальник (заместитель начальника) территориального органа МВД России   (личная подпись)   (инициалы, фамилия)
    М.П.    

другие новости

06.10.2021  |  14:55

Применение технологий ИИ требует законодательного регулирования

27.09.2021  |  16:45

В Мурманской области построят ЦОД для Арктики на условиях ГЧП

20.09.2021  |  11:39

Российское ПО обеспечивает киберзащиту предприятий ОПК

14.09.2021  |  18:18

Правительство РФ утвердило 2-й пакет мер поддержки ИТ-отрасли

13.09.2021  |  13:17

Переход от нормоконтроля к консалтингу – цель стройэкспертизы

08.09.2021  |  15:51

Конкуренцию обеспечат BIM, аналитические системы, дерегулирование

07.09.2021  |  17:49

В Самарской области число атак на IT-системы выросло до 138 тысяч

27.08.2021  |  10:25

Новинки техники для ОТБ представлены общественности

18.08.2021  |  16:32

Минцифры РФ готовит приказ по правилам использования биометрии

29.07.2021  |  17:54

В промышленную независимость России вложат более 17 млрд рублей

23.07.2021  |  17:42

Утверждено ТЗ на разработку криптозащиты для биометрии в банках

22.07.2021  |  18:16

В положение о ГИС ТОР КНД внесены изменения

Мероприятия

VIII Международный форум и выставка 100+ TechnoBuild

Екатеринбург, МВЦ «Екатеринбург-ЭКСПО» | 5-7 октября 2021 г.

Ежегодно в выставке участвуют крупнейшие представители строительной отрасли, а деловая программа  проходит с участием лучших мировых специалистов по строительству и проектированию. Ключевая задача выставки — представить новейшие достижения в строительстве, технологии и проекты для развития современных городов.

VII Ежегодная конференция «Транспортная безопасность в Российской Федерации»

г. Ялта ул. Дражинского, д. 50, ГК «Ялта – Интурист | 7-8 октября 2021 года

Ключевыми темами мероприятия станут проблемные вопросы, возникающие при реализации требований в области ОТБ, правоприменительная практика в сфере транспортной безопасности, а также нововведения в нормативно-правовом регулировании. 

Форум «Общественный транспорт 2021»

Лотте Отель Москва (Новинский бульвар, д. 8, стр. 2) | 12 октября 2021 года

Целью Форума, который пройдет в рамках Недель российского бизнеса, является формирование предложений по реализации комплексной модели обновления и модернизации пассажирского общественного транспорта и маршрутных сетей в субъектах Российской Федерации, а также привлечение внебюджетного финансирования в проекты городского транспорта.

ЗАКЛЮЧЕНИЕ О ВОЗМОЖНОСТИ (НЕВОЗМОЖНОСТИ) ДОПУСКА ЛИЦ К ВЫПОЛНЕНИЮ РАБОТ, НЕПОСРЕДСТВЕННО СВЯЗАННЫХ С ОБЕСПЕЧЕНИЕМ ТРАНСПОРТНОЙ БЕЗОПАСНОСТИ ОТ ___________ N ___________

По результатам рассмотрения письменного запроса

(указывается заявитель и реквизиты письменного запроса)

сообщаем, что:

а) сведений, ограничивающих допуск к выполнению работ, непосредственно связанных с обеспечением транспортной безопасности, не имеется в отношении следующих лиц:

1)  
  (указывается фамилия, имя, отчество (при наличии), дата рождения, место жительства, серия и номер документа, удостоверяющего личность, дата его выдачи и наименование органа его выдавшего)
2)  
  (указывается фамилия, имя, отчество (при наличии), дата рождения, место жительства, серия и номер документа, удостоверяющего личность, дата его выдачи и наименование органа его выдавшего)

б) имеются сведения, ограничивающие допуск к выполнению работ, непосредственно связанных с обеспечением транспортной безопасности, в отношении следующих лиц:

1)  
  (указывается фамилия, имя, отчество (при наличии), дата рождения, место жительства, серия и номер документа, удостоверяющего личность, дата его выдачи и наименование органа его выдавшего)
2)  
  (указывается фамилия, имя, отчество (при наличии), дата рождения, место жительства, серия и номер документа, удостоверяющего личность, дата его выдачи и наименование органа его выдавшего)
       
Начальник (заместитель начальника) территориального органа МВД России   (личная подпись)   (инициалы, фамилия)
    М.П.    

Приложение N 3 к Порядку выдачи органами внутренних дел Российской Федерации заключения о возможности (заключения о невозможности) допуска лиц к выполнению работ, непосредственно связанных с обеспечением транспортной безопасности

Рекомендуемый образец

Бланк территориального органа МВД России, осуществляющего выдачу заключения