Перечня сведений конфиденциального характера», приказами ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», «Положением по аттестации объектов информатизации по требованиям безопасности информации» (утверждено Гостехкомиссией РФ 25.11.1994), « Базовоймодельюугроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждена заместителем директора ФСТЭК России 15.02.2008), «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждена заместителем директора ФСТЭК России 14.02.2008), «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К)», (утверждены Приказом Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 № 282), «Руководящим документом. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утвержден решением
документов определяется заказчиком; базовый набор мер определяется исходя из класса защищенности государственных информационных систем; результаты обследования используются в качестве исходных данных для проектирования системы защиты информации ИС; если в техническом задании приведены все необходимые требования по защите информации, то частное техническое задание является избыточным; состав средств защиты информации до этапа проектирования системы защиты информации определить невозможно». Также Управление ФСТЭК России по Приволжскому федеральному округу указало на то, что при отсутствии проектной и эксплуатационной документации на создание системы защиты информации ИС имеется риск неправильного выбора средств защиты информации. Следовательно, отсутствие информации о мерах защиты информации, подлежащих реализации в информационной системе, класса защищенности информационной системы не позволяет спрогнозировать количественный состав, требования к средствам защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, выбор которых осуществляется на этапе проектирования системы защиты в ходе выполнения работ. Тогда как, организация, имеющая исключительный доступ к информации (модельугроз , типовая модель
адаптированного базового набора мер с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы; дополнение уточненного адаптированного базового набора мер мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации. Соответственно, по мнению истца, все изложенные им в спорных документах меры по обеспечению безопасности персональных данных полностью соответствовали определенному для Администрации 4-му уровню защищенности персональных данных (с учетом специфических характеристик организации деятельности заказчика). Кроме того, разработанные Обществом частная модельугроз и техническое задание являются проектами и, соответственно, могут быть отредактированы заказчиком в случае его несогласия с изложенными в них предложениями исполнителя. Направленные ответчиком по электронной почте документы не были приняты Обществом, поскольку заключенный сторонами контракт не предполагал обмена документами в электронной форме.
обеспечению безопасности обрабатываемой информации ограниченного доступа, содержащей сведения конфиденциального характера, включая персональные данные. Информационная безопасность ИСОД ОВД должна обеспечиваться выполнением комплекса организационных мероприятий и применением программно-технических средств защиты информации, предупреждению преднамеренных программно-технических воздействий с целью нарушения конфиденциальности, целостности и доступности информации в процессе ее обработки, передачи и хранения. В основе формирования комплекса мер по обеспечению информационной безопасности и защиты данных в ИСОД ОВД лежит « Базоваямодель нарушителя и модель угроз контура обработки конфиденциальной информации единой системы информационно-аналитического обеспечения ОВД», согласованная с ФСБ России, ФСТЭК России и утвержденная заместителем министра МВД России. На основании п.3.1.7 Проекта, средства криптографической защиты информации предназначены для реализации требований криптографического преобразования данных, в том числе зашифрования/расшифрования информации, передаваемой по каналам связи. Для защиты передаваемой информации между объектами управления разделом 3 Проекта предусмотрено применение сертифицированных средств КВ2, КС1-КСЗ. Таким образом, изложенное в п.1 предписания требование является законным и обоснованным. Лицо, выдавшее предписание, ФИО5 подтвердил наличие указанного
