Практическая защита
персональных данных
+7 (499) 390-65-05
1 уровень защищенности
Требования в соответствии с постановлением правительства №1119 Об утверждении
требований к защите персональных данных при их обработке в
информационных системах персональных данных:
- организация режима обеспечения безопасности помещений, в которых
размещена информационная система, препятствующего возможности неконтролируемого
проникновения или пребывания в этих помещениях лиц, не имеющих права доступа
в эти помещения
- обеспечение сохранности носителей персональных данных
- утверждение руководителем оператора документа, определяющего перечень лиц,
доступ которых к персональным данным, обрабатываемым в информационной системе,
необходим для выполнения ими служебных (трудовых) обязанностей
- использование средств защиты информации, прошедших процедуру оценки
соответствия требованиям законодательства Российской Федерации в области
обеспечения безопасности информации, в случае, когда применение таких
средств необходимо для нейтрализации актуальных угроз
- назначение должностного лица (работника), ответственного за обеспечение
безопасности персональных данных в информационной системе
- доступ к содержанию электронного журнала сообщений должен быть возможен исключительно
для должностных лиц (работников) оператора или уполномоченного лица,
которым сведения, содержащиеся в указанном журнале, необходимы для выполнения
служебных (трудовых) обязанностей
- автоматическая регистрация в электронном журнале безопасности изменения
полномочий сотрудника оператора по доступу к персональным данным, содержащимся
в информационной системе
- создание структурного подразделения, ответственного за обеспечение безопасности
персональных данных в информационной системе, либо возложение на одно из
структурных подразделений функций по обеспечению такой безопасности
Требования в соответствии с Приказом «Об
утверждении состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных» от 18 февраля 2013 г. ФСТЭК
N 21
Условное обозначение и номер меры |
Содержание мер по обеспечению безопасности персональных данных |
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
|
ИАФ.1 |
Идентификация и аутентификация пользователей, являющихся работниками оператора |
ИАФ.2 |
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных |
ИАФ.З |
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
ИАФ.4 |
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
ИАФ.5 |
Защита обратной связи при вводе аутентификационной информации |
ИАФ.6 |
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
II. Управление доступом субъектов доступа к объектам доступа (УПД) |
|
УПД.1 |
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
УПД.2 |
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
УПД.З |
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
УПД.4 |
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы |
УПД.5 |
Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
УПД.6 |
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
УПД.10 |
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
УПД.11 |
Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
УПД.13 |
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
УПД.14 |
Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
УПД.15 |
Регламентация и контроль использования в информационной системе мобильных технических средств |
УПД.16 |
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
УПД.17 |
Обеспечение доверенной загрузки средств вычислительной техники |
III. Ограничение программной среды (ОПС) |
|
ОПС.2 |
Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
ОПС.З |
Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
IV. Защита машинных носителей персональных данных (ЗНИ) |
|
ЗНИ.1 |
Учет машинных носителей персональных данных |
ЗНИ. 2 |
Управление доступом к машинным носителям персональных данных |
ЗНИ.8 |
Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания |
V. Регистрация событий безопасности (РСБ) |
|
РСБ.1 |
Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
РСБ.2 |
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
РСБ.З |
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
РСБ.5 |
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
РСБ. 7 |
Защита информации о событиях безопасности |
VI. Антивирусная защита (АВЗ) |
|
АВ3.1 |
Реализация антивирусной защиты |
АВ3.2 |
Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
VII. Обнаружение вторжений (СОВ) |
|
COB.l |
Обнаружение вторжений |
COB.2 |
Обновление базы решающих правил |
VIII. Контроль (анализ) защищенности персональных данных (АНЗ) |
|
АНЗ.1 |
Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
АНЗ.2 |
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
АНЗ.3 |
Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
АНЗ.4 |
Контроль состава технических средств, программного обеспечения и средств защиты информации |
АНЗ.5 |
Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе |
IХ.Обеспечение целостности информационной системы и персональных данных (ОЦЛ) |
|
ОЦЛ.1 |
Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
ОЦЛ.4 |
Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) |
X. Обеспечение доступности персональных данных (ОДТ) |
|
ОДТ.3 |
Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование |
ОДТ.4 |
Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных |
ОДТ. 5 |
Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала |
XI. Защита среды виртуализации (ЗСВ) |
|
ЗСВ.1 |
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
ЗСВ.2 |
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
ЗСВ.3 |
Регистрация событий безопасности в виртуальной инфраструктуре |
ЗСВ.6 |
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных |
ЗСВ.7 |
Контроль целостности виртуальной инфраструктуры и ее конфигураций |
ЗСВ. 8 |
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры |
ЗСВ.9 |
Реализация и управление антивирусной защитой в виртуальной инфраструктуре |
ЗСВ.10 |
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей |
XII. Защита технических средств (ЗТС) |
|
ЗТС.3 |
Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены |
ЗТС.4 |
Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) |
|
ЗИС.1 |
Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы |
ЗИС.3 |
Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
ЗИС.11 |
Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов |
ЗИС.15 |
Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных |
ЗИС.17 |
Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы |
ЗИС.20 |
Защита беспроводных соединений, применяемых в информационной системе |
XIV. Выявление инцидентов и реагирование на них (ИНЦ) |
|
ИНЦ.1 |
Определение лиц, ответственных за выявление инцидентов и реагирование на них |
ИНЦ.2 |
Обнаружение, идентификация и регистрация инцидентов |
ИНЦ.3 |
Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами |
ИНЦ.4 |
Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий |
ИНЦ. 5 |
Принятие мер по устранению последствий инцидентов |
ИНЦ. 6 |
Планирование и принятие мер по предотвращению повторного возникновения инцидентов |
XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) |
|
УКФ.1 |
Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных |
УКФ.2 |
Управление изменениями конфигурации информационной системы и системы защиты персональных данных |
УКФ.3 |
Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных |
УКФ.4 |
Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных |