Ваша ИСПДн 1-го уровня защищённости персональных данных
Требования ФСБ России к ИСПДн 1-го уровня защищенности персональных данных:
Для обеспечения 1-го уровня защищенности персональных данных при их обработке в ИСПДн с использованием СКЗИ необходимо выполнение следующих требований:
а) обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее - Помещения), лиц, не имеющих права доступа в Помещения, которое достигается путем:
- оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;
- оборудованием окон Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в Помещения;
- оборудование окон и дверей Помещений, в которых размещены серверы ИСПДн, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;
- утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
- утверждения перечня лиц, имеющих право доступа в Помещения;
б) обеспечение сохранности носителей персональных данных, которое достигается путем;
- хранения съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);
- поэкземплярного учета машинных носителей персональных данных, который достигается ведением журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей:
- разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;
- поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;
г) необходимо применять СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем:
- получения исходных данных для формирования модели угроз;
- формирования и утверждения руководителем оператора модели угроз и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ;
д) назначить обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в ИСПДн;
е) доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей, который достигается путем:
- утверждением руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии;
- обеспечение ИСПДн автоматизированными средствами, регистрирующими запросы пользователей ИСПДн на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений;
- обеспечение ИСПДн автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений;
- обеспечение периодического контроля работоспособности автоматизированных средств электронного журнала сообщений (не реже 1 раза в полгода).
ж) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в ИСПДн, которая достигается путем:
- обеспечением ИСПДн автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в ИСПДн;
- отражением в электронном журнале безопасности полномочий сотрудников оператора персональных данных по доступу к персональным данным, содержащимся в ИСПДн. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;
- назначением оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям (не реже 1 раза в месяц);
з) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в ИСПДн, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности, достигается путем:
-проведения анализа целесообразности создания отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в ИСПДн;
-созданием отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в ИСПДн, либо возложением его функции на одно из существующих структурных подразделений.