7 мая 2017 года вступают в силу новые требования к техническим мерам защиты персональных данных входящих в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18.02.2013 № 21.
Приказом ФСТЭК России от 23.03.2017 №49 внесены изменения в приказ ФСТЭК России от 18.02.2013 №21 в части касающегося технических мер защиты персональных данных. Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.
При использовании в информационных системах персональных данных (ИСПДн) сертифицированных по требованиям безопасности информации средств защиты информации:
- в ИСПДн 1 уровня защищенности персональных данных применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;
- в ИСПДн 2 уровня защищенности персональных данных применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;
- в ИСПДн 3 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 5 класса;
- в ИСПДн 4 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 6 класса.
Классы защиты определяются в соответствии с нормативными правовыми актами, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о ФСТЭК России, утвержденного Указом Президента РФ от 16.08.2004 №1085.
При использовании в ИСПДн средств защиты информации, сертифицированных по требованиям безопасности информации, указанные средства должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности).
Функции безопасности средств защиты информации должны обеспечивать выполнение мер по обеспечению безопасности персональных данных, содержащихся в приказе ФСТЭК России от 18.02.2013 №21.
Для обеспечения 1 и 2 уровня защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в ИСПДн, для которых к актуальным отнесены угрозы 2-го типа, применяются сертифицированные средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.