защищенности персональных данных, установленного в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119. При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17. 2.2. Определение угроз безопасности информации в информационной системе Угрозы безопасности информации (УБИ) определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств
показателя таким периодом будет являться соответствующий календарный год. 48. Значения показателей (характеристик) объекта учета рекомендуется формировать при регистрации объекта учета. В дальнейшем значения показателей дополняются и актуализируются при дополнении (актуализации) сведений об объекте учета. Сведения о защите информации 49. В подразделе "Сведения о защите информации" рекомендуется приводить сведения об уровне защищенности в соответствии с текущими требованиями Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю. 50. В поле " Уровень защищенности персональных данных" рекомендуется указывать уровень защищенности (от 1 до 4) в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257). 51. Вместо уровня защищенности в поле "Уровень защищенности персональных данных" могут указываться следующие значения: "не определен" - если для объекта учета не определен уровень защищенности, хотя
(функции) ______________________________________________________ Процент использования ресурсов ИС при автоматизации исполнения государственной услуги (функции) ______________________________________________________ Индикаторы и показатели государственных услуг (функций) ______________________________________________________ ИС, направленные на информирование о деятельности государственного органа ______________________________________________________ Раздел 5. Характеристики: функциональные характеристики, сведения о защите информации Подраздел 5.1. Функциональные характеристики объекта учета Наименование показателя ______________________________________________________ Единица измерения показателя ______________________________________________________ Плановое значение показателя ______________________________________________________ Максимальное значение показателя ______________________________________________________ Фактическое значение показателя ______________________________________________________ Дата/Период измерения показателя ______________________________________________________ Подраздел 5.2. Сведения о защите информации Уровень защищенности персональных данных ______________________________________________________ Сведения о прохождении специальных проверок ______________________________________________________ Раздел 6. Мероприятия по информатизации, направленные на создание, развитие, модернизацию и эксплуатацию объекта учета: сроки создания, сведения о мероприятиях по созданию, развитию, модернизации и эксплуатации объекта учета Подраздел 6.1. Сведения о сроках создания Сроки создания ______________________________________________________ Подраздел 6.2. Сведения о мероприятиях по информатизации Мероприятия по информатизации ______________________________________________________ Подраздел 6.3. Сведения об объявлении торгов Дата объявления торгов ______________________________________________________ Реестровый номер закупки ______________________________________________________ Код БК <2> ______________________________________________________
а также с учетом требований, приведенных в настоящих ЕФТТ. Организация работ по защите информации на стороне вышеперечисленных ОИ осуществляется собственниками ОИ (операторами, владельцами). При реализации КНО комплекса мероприятий по защите информации на ОИ рекомендуется: - провести классификацию ОИ в соответствии с требованиями действующего законодательства Российской Федерации и подзаконных нормативных правовых актов в области защиты информации, с учетом обрабатываемой на ОИ информации, установить класс (категорию) защищенности ОИ и (или) уровень защищенности обрабатываемой информации ( уровень защищенности персональных данных, в случае обработки персональных данных на ОИ); - выполнить работы по моделированию угроз и нарушителей безопасности информации для ОИ, в т.ч. с учетом сведений, приведенных в настоящих ЕФТТ; - сформировать требования к системе (подсистеме) защиты информации ОИ с учетом требований действующего законодательства Российской Федерации и подзаконных нормативных правовых актов в области защиты информации, актуальных угроз безопасности информации и установленного класса (категорию) защищенности ОИ и (или) уровня защищенности обрабатываемой информации (персональных данных, в
в информационных системах. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе. Система обработки персональных данных абонентов заказника должна обеспечивать 3 (третий) уровень защищенности персональных данных, так как в данной системе обрабатываются персональные данные лиц, которые не являются сотрудниками заказчика в количестве более 100000 человек (абонентов) в соответствии со ст. 11 Постановления Правительства РФ от 01.11.2012 № 1119. Как следует из пункта 4 Приказа ФСТЭК № 21, меры по обеспечению безопасности персональных данных реализуются, в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств
пришел к выводу, что услуги по защите и модернизации АИС учреждения оказаны обществом не в полном объеме, не в полной мере соответствуют техническому заданию к контракту, а также требованиям норм и правил в соответствующей области. Выявленные в ходе исследования несоответствия и их характеристики представлены в таблице к вопросу № 1. В результате исследования определено, что разработанная обществом «Модель угроз безопасности информации» не в полной мере соответствует требованиям норм и правил в соответствующей области, уровню защищенности персональных данных, установленному контрактом. Для АИС учреждения в модели угроз не рассмотрены вопросы защиты от угроз безопасности информации, связанных с использованием облачных технологий учреждения, как потребителем облачных услуг. Для АИС учреждения в модели угроз не рассмотрены вопросы защиты от угроз безопасности информации, связанных с действиями внутренних нарушителей с усиленным базовым (средним) потенциалом. Принимая во внимание выводы экспертного исследования, а также отсутствие иных надлежащих доказательств выполнения качественных работ на заявленную сумму, суды обоснованно отказали в
обращение Администрации с нарушением порядка, установленного ГОСТ РО 0043-003-2012 (ДСП), без привлечения Общества; - не соответствует обстоятельствам дела вывод суда об отсутствии у сторон намерений продолжить договорные отношения; - бездоказательным и не соответствующим обстоятельствам дела является вывод суда о том, что обоснованные изменения технического задания могут быть произведены на основании нового муниципального контракта и приведут к дополнительным затратам муниципального бюджета; - судом сделан необоснованный вывод, что Общество рассматривало меры защиты, не соответствующие 4-му уровню защищенности персональных данных; - не соответствует действительности вывод суда об утверждении истцом того, что положительное заключение не будет выдано, так как имеются иные критичные недочеты. Общество утверждало о том, что Администрацией не выполняются прямые требования к защите персональных данных, установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; - взысканная в возмещение расходов истца на оплату услуг представителя сумма не соответствует уровню сложности дела, суд первой инстанции не возместил расходы истца на направление претензии,
либо являются существенными и неустранимыми, заказчик вправе отказаться от исполнения договора и потребовать возмещения причиненных убытков. Согласно статье 65 АПК РФ каждое лицо, участвующее в деле, должно доказать обстоятельства, на которые оно ссылается как на основание своих требований и возражений. Суды первой и апелляционной инстанций исследовали представленные в дело доказательства в соответствии с требованиями статьи 71 АПК РФ и установили следующее. Согласно утвержденному заказчиком акту от 25.01.2019 для Администрации установлена необходимость обеспечения 4-го уровнязащищенностиперсональных данных при их обработке в информационной системе. Общество представило разработанные им частную модель угроз, частное техническое задание на создание (модернизацию) системы защиты информации, программу и методику аттестационных испытаний, заключение по результатам аттестационных испытаний с соответствующим протоколом. Указанные документы содержат отметку об их утверждении исполнителем. Со стороны заказчика штамп о согласовании не проставлен. Из акта о приемке выполненных работ от 31.01.2019 следует, что Общество выполнило следующие работы: поставило установочный программный комплект (275 руб.), передало
организационных и технических мер, направленных для выполнения установленных требований к защите персональных данных, а также положений, определяющих порядок выбора оператора средств защиты информации, для системы защиты персональных данных в государственной информационной системе указанный документ не содержит. ГУ МВД России по ДФО не разрабатывало, не производило, не реализовывало и не эксплуатировало СКЗИ. Установленными требованиями к защите информации обязанность использования средств СКЗИ при обработке конфиденциальной информации не предполагается. Контрольный орган в ходе проверки должен установить уровень защищенности персональных данных при их обработке в ИС «ИБД-Регион», требования к защите персональных данных, состав и содержание организационных и технических мер, предъявляемых к СЗИ, необходимых для использования в ИС «ИЮД-Регион». Нормативные акты ФСБ России, раскрывающие практические механизмы реализации Постановления Правительства РФ от ДД.ММ.ГГГГ №1119, не издавались. Приказ ФСТЭК России от ДД.ММ.ГГГГ № не устанавливает состав и содержание технических мер с использованием средств криптографической защиты информации, поскольку регулирование указанных отношений отнесено к полномочиям ФСБ России. Соответствующий
