Модель нарушителя персональных данных - гражданское законодательство и судебные прецеденты

Нарушитель относится к типу Н если среди предположений о его i возможностях есть предположение, относящееся к нарушителям типа Н , и нет i предположений, относящихся только к нарушителям типа Н (j > i). j Нарушитель относится к типу Н в информационных системах, в которых 6 обрабатываются наиболее важные персональные данные, нарушение характеристик безопасности которых может привести к особо тяжелым последствиям. Рекомендуется при отнесении оператором нарушителя к типу Н 6 согласовывать модель нарушителя с ФСБ России. 4. Уровень криптографической защиты персональных данных, уровни специальной защиты от утечки по каналам побочных излучений и наводок и уровни защиты от несанкционированного доступа 4.1. Различают шесть уровней КС1, КС2, КС3, КВ1, КВ2, КА1 криптографической защиты персональных данных, не содержащих сведений, составляющих государственную тайну, определенных в порядке возрастания количества и жесткости предъявляемых к криптосредствам требований, и соответственно шесть классов криптосредств, также обозначаемых через КС1, КС2, КС3, КВ1, КВ2, КА1. Уровень криптографической защиты персональных данных, обеспечиваемой криптосредством,

безопасности при использовании средств криптографической защиты информации 7.7.1. Средства криптографической защиты информации или шифровальные (криптографические) средства (далее - СКЗИ) предназначены для защиты информации при ее обработке, хранении и передаче по каналам связи. Необходимость использования СКЗИ определяется организацией БС РФ самостоятельно, если иное не предусмотрено законодательством РФ. 7.7.2. Применение СКЗИ в организации БС РФ должно проводиться в соответствии с моделью угроз ИБ и моделью нарушителя ИБ, принятыми организацией БС РФ. Рекомендуется утвердить частную политику ИБ, касающуюся применения СКЗИ в организации БС РФ. 7.7.3. СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2. 7.7.4. Работы по обеспечению с помощью СКЗИ безопасности информации проводятся в соответствии с законодательством РФ, нормативными документами, регламентирующими вопросы эксплуатации СКЗИ, технической документацией на СКЗИ и лицензионными требованиями ФСБ России. 7.7.5. Для обеспечения безопасности необходимо использовать СКЗИ, которые: - допускают встраивание в технологические процессы обработки электронных сообщений, обеспечивают взаимодействие с прикладным программным обеспечением на уровне

которых внешние пользователи ГИС ТОР КНД (далее - пользователи, сотрудники КНО) планируют осуществлять удаленный доступ к ресурсам ГИС ТОР КНД или для ВИС КНО, которые планируют обеспечивать информационное взаимодействие с ГИС ТОР КНД по каналам связи, подключенным к сети связи общего пользования (Интернет). Настоящее приложение разработано с учетом модели нарушителя ГИС ТОР КНД и требований нормативных документов ФСБ России: - приказ ФСБ России от 27.12.2011. N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра"; - приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности". Определение требуемого класса СКЗИ/СЭП для применения на стороне ОИ КНО (ВИС КНО) при подключении к ГИС