Информационное сообщением ФСТЭК России от 24.03.2017 №240/24/1382 по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации разъясняет позицию ФСТЭК России в области защиты персональных данных в связи с утверждением Требования к межсетевым экранам.
1. Применение межсетевых экранов в информационной системе персональных персональных данных
Применение средств защиты информации, включая межсетевые экраны, в информационных системах персональных данных регламентируется Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18.02.2013 №21.
Возможность применения конкретной модели межсетевого экрана в информационной системе персональных данных определяется действующим на него сертификатом соответствия требованиям по безопасности информации.
В настоящее время в информационных системах персональных данных могут применяться межсетевые экраны, сертифицированные на соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (далее – РД МЭ).
ФСТЭК России подготовило изменения в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18.02.2013 №21, предусматривающие также необходимость применения в информационных системах персональных данных межсетевых экранов, сертифицированных на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 09.02.2016 №9.
В информационных системах персональных данных, созданных до вступления в силу соответствующих изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от от 18.02.2013 №21, допускается применение межсетевых экранов, сертифицированных на соответствие РД МЭ (при условии наличия действующих сертификатов соответствия требованиям по безопасности информации).
В ходе эксплуатации информационных систем персональных данных у операторов в рамках работ по поддержанию функционирования инфраструктуры может возникнуть потребность в устранении уязвимостей, ошибок и неисправностей в применяемых межсетевых экранах, которые сертифицированы на соответствие РД МЭ, в том числе приводящих к необходимости замены межсетевых экранов на аналогичные сертифицированные модели.
В этих целях ФСТЭК России допускает применение аналогичных моделей межсетевых экранов, которые сертифицированы на соответствие РД МЭ, при условии наличия на них действующих сертификатов соответствия, а также при условии отсутствия технической возможности их замены на межсетевые экраны, сертифицированные на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 09.02.2016 №9.
2. Оценка эффективности (аттестация) информационных систем персональных данных, в которых применяются сертифицированные межсетевые экраны
В соответствии с пунктом 6 Состава и содержания мер, утвержденных
приказом ФСТЭК России от 18.02.2013№21, оценка эффективности
реализованных в рамках системы защиты персональных данных мер по
обеспечению безопасности персональных данных проводится оператором
самостоятельно или с привлечением на договорной основе юридических лиц и
индивидуальных предпринимателей, имеющих лицензию на осуществление
деятельности по технической защите конфиденциальной информации. При этом
Составом и содержанием мер, утвержденными приказом ФСТЭК России
от 18.02.2013№21, форма оценки эффективности, а также форма и
содержание документов, разрабатываемых по результатам (в процессе) оценки, не
установлены.
Решение по форме оценки эффективности и документов,
разрабатываемых по результатам (в процессе) оценки эффективности, принимается
оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для
проведения оценки эффективности реализованных мер по обеспечению
безопасности персональных данных.
Оценка эффективности реализованных мер может быть проведена в рамках
работ по аттестации информационной системы персональных данных в
соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита
информации. Аттестация объектов информатизации. Общие положения».
При проведении оценки эффективности (аттестации) в информационных системах персональных данных должны применяться средства защиты информации, в том числе межсетевые экраны, сертифицированные по соответствующим классам защиты, предусмотренным указанными выше нормативным правовым актом.
Оценка эффективности (аттестация) информационных систем персональных данных после вступления в силу соответствующих изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18.02.2013 №21, возможна только в случае применения в них межсетевых экранов, сертифицированных на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 09.02.2016 №9.
ФСТЭК России допускает проведение повторной оценки эффективности (после окончания срока действия аттестата соответствия) информационной системы персональных данных, в которой применяются межсетевые экраны, сертифицированные на соответствие требованиям РД МЭ, при условии наличия на них действующих сертификатов соответствия.
Примечание:
Примечание: