документа. Выбор мер защиты информации для их реализации в информационной системе включает (см. рисунок): определение базового набора мер защиты информации для установленного класса защищенности информационной системы; адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам информационной системы, информационным технологиям, особенностям функционирования информационной системы; уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации для блокирования (нейтрализации) всех угроз безопасности информации, включенных в модельугроз безопасности информации; дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных. Рисунок - Общий порядок действий по выбору мер защиты информации для их реализации в информационной системе При невозможности реализации в информационной системе в рамках ее системы защиты информации отдельных выбранных мер защиты информации на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового
информационной системы, информационным технологиям, особенностям функционирования информационной системы (в том числе предусматривающую исключение из базового набора мер защиты информации мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе); уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации, приведенных в приложении N 2 к настоящим Требованиям, в результате чего определяются меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации, включенных в модельугроз безопасности информации; дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных. Для выбора мер защиты информации для соответствующего класса защищенности информационной системы применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента
указанных ниже замечаний, представленных по разделам: По разделу 1.1. Обосновать выбор и целесообразность использования показателей именно для долгосрочного планирования. По разделу 1.2. Исключить указание в нормативной правовой базе на проект Федерального закона, принятого Государственной Думой; Дополнить указанные нормативные документы следующими документами в сфере информационной безопасности: Доктриной информационной безопасности Российской Федерации, утвержденной Президентом РФ 9 сентября 2000 года № Пр-1895. Документами, принятыми ФСТЭК России: а) применяемыми в случае обработки персональных данных: - « Базоваямодельугроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года; - «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 года; - приказ от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; б) применяемыми в общем случае: -
от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера», приказами ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», «Положением по аттестации объектов информатизации по требованиям безопасности информации» (утверждено Гостехкомиссией РФ 25.11.1994), « Базовоймодельюугроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждена заместителем директора ФСТЭК России 15.02.2008), «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждена заместителем директора ФСТЭК России 14.02.2008), «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К)», (утверждены Приказом Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 № 282), «Руководящим документом. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем
документов определяется заказчиком; базовый набор мер определяется исходя из класса защищенности государственных информационных систем; результаты обследования используются в качестве исходных данных для проектирования системы защиты информации ИС; если в техническом задании приведены все необходимые требования по защите информации, то частное техническое задание является избыточным; состав средств защиты информации до этапа проектирования системы защиты информации определить невозможно». Также Управление ФСТЭК России по Приволжскому федеральному округу указало на то, что при отсутствии проектной и эксплуатационной документации на создание системы защиты информации ИС имеется риск неправильного выбора средств защиты информации. Следовательно, отсутствие информации о мерах защиты информации, подлежащих реализации в информационной системе, класса защищенности информационной системы не позволяет спрогнозировать количественный состав, требования к средствам защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, выбор которых осуществляется на этапе проектирования системы защиты в ходе выполнения работ. Тогда как, организация, имеющая исключительный доступ к информации (модельугроз , типовая модель
адаптированного базового набора мер с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы; дополнение уточненного адаптированного базового набора мер мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации. Соответственно, по мнению истца, все изложенные им в спорных документах меры по обеспечению безопасности персональных данных полностью соответствовали определенному для Администрации 4-му уровню защищенности персональных данных (с учетом специфических характеристик организации деятельности заказчика). Кроме того, разработанные Обществом частная модельугроз и техническое задание являются проектами и, соответственно, могут быть отредактированы заказчиком в случае его несогласия с изложенными в них предложениями исполнителя. Направленные ответчиком по электронной почте документы не были приняты Обществом, поскольку заключенный сторонами контракт не предполагал обмена документами в электронной форме.
