Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Постановление Администрации Чамзинского муниципального района Республики Мордовия от 3 мая 2018 г. N 277 "Об утверждении Требований по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных Администрации Чамзинского муниципального района"
- Приложение 2. Требования по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных администрации Чамзинского муниципального района (4-го уровня защищенности)
Приложение 2. Требования по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных администрации Чамзинского муниципального района (4-го уровня защищенности)
Приложение 2
Требования
по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных администрации Чамзинского муниципального района (4-го уровня защищенности)
(утв. постановлением администрации Чамзинского муниципального района Республики Мордовия от 3 мая 2018 г. N 277)
ГАРАНТ:
Нумерация пунктов и разделов приводится в соответствии с источником
3 Общие положения
3.1 Данные требования по обеспечению безопасности персональных данных (далее ПДн) при их обработке в информационной системе персональных данных администрации Чамзинского муниципального района (далее - ИСПДн Учреждения) разработаны на основании следующих документов:
- постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
- Приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
3.2 Требования определяют совокупность организационных и технических мероприятий, необходимых для обеспечения заданного уровня безопасности персональных данных при их обработке в ИСПДн Учреждения.
3.3 Требования распространяются только на ИСПДн Учреждения и её подсистемы.
4 Базовый набор требований
2.1. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
2.2. Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения 4 уровня защищенности персональных данных на базовом уровне
|
Условное обозначение и номер меры |
Содержание мер по обеспечению безопасности персональных данных |
|
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |
|
ИАФ.1 |
Идентификация и аутентификация пользователей, являющихся работниками оператора |
|
ИАФ.З |
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
|
ИАФ.4 |
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
|
ИАФ.5 |
Защита обратной связи при вводе аутентификационной информации |
|
ИАФ.6 |
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
|
II. Управление доступом субъектов доступа к объектам доступа (УПД) | |
|
УПД.1 |
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
|
УПД.2 |
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
|
УПД.3 |
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
|
УПД.4 |
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы |
|
УПД.5 |
Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
|
УПД.6 |
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
|
УПД.13 |
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
|
УПД.14 |
Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
|
УПД.15 |
Регламентация и контроль использования в информационной системе мобильных технических средств |
|
УПД.16 |
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
|
III. Ограничение программной среды (ОПС) | |
|
IV. Защита машинных носителей персональных данных (ЗНИ) | |
|
V. Регистрация событий безопасности (РСБ) | |
|
РСБ.1 |
Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
|
РСБ.2 |
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
|
РСБ.3 |
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
|
РСБ. 7 |
Защита информации о событиях безопасности |
|
VI. Антивирусная защита (АВЗ) | |
|
АВ3.1 |
Реализация антивирусной защиты |
|
АВ3.2 |
Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
|
VII. Обнаружение вторжений (СОВ) | |
|
VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | |
|
АНЗ.2 |
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
|
IХ. Обеспечение целостности информационной системы и персональных данных (ОЦЛ) | |
|
X. Обеспечение доступности персональных данных (ОДТ) | |
|
XI. Защита среды виртуализации (ЗСВ) | |
|
ЗСВ.1 |
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
|
ЗСВ.2 |
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
|
XII. Защита технических средств (ЗТС) | |
|
ЗТС.3 |
Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены |
|
ЗТС.4 |
Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
|
XIII. Защита информационной сист | |