RSS    

Видеокурсы

Видеокурсы по ВТ

Опасности в социальных сетях

Социальные сети

Программы для бесплатного просмотра online tv...  

Компьютер заражен? Есть несколько вариантов вылечить ПК...

Стандарт LTE - Long-Term Evolution - или стандарт связи четвертого поколения (4G) считается перспективным... 



Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (Приказ ФСТЭК от 18.02.2013 г. N 21)

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

 УТВЕРЖДЕНЫ приказом ФСТЭК России от «__» ________ 2012 г. №___  (проект) 

I. Общие положения 

1. Настоящий документ разработан в соответствии с частью 4 статьи 19 Федерального закона «О персональных данных» (Собрание законодательства Российской Федерации 2006, № 31, ст. 3451; 2009, № 48, ст. 5716; № 52, ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; 2011, № 23, ст. 3263; № 31, ст. 4701) и устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – информационные системы), принимаемых операторами для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.

3. Настоящий документ предназначен для выбора операторами информационных систем и (или) уполномоченными лицами организационных и технических мер по обеспечению безопасности персональных данных и их реализации в системе защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, в соответствии с установленным уровнем защищенности персональных данных.

Выбранные и реализованные в системе защиты персональных данных организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах должны обеспечивать нейтрализацию актуальных угроз безопасности персональных данных, определенных в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

4. Для проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах операторами и (или) уполномоченными лицами в соответствии с законодательством Российской Федерации могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

5. Для обеспечения безопасности персональных данных при их обработке в информационных системах применяются средства защиты информации, прошедшие в соответствии с законодательством Российской Федерации оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.

6. Оценка достаточности выбранных и реализованных в системе защиты персональных данных организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах для нейтрализации актуальных угроз безопасности персональных данных осуществляется оператором (уполномоченным лицом) в ходе проводимого им контроля за выполнением Требований к защите персональных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119.

По решению оператора (уполномоченного лица) оценка достаточности выбранных и реализованных в системе защиты персональных данных организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах может осуществляться в рамках аттестации информационной системы.

7. Меры по обеспечению безопасности персональных данных в государственных информационных системах принимаются в соответствии с требованиями о защите информации, не содержащей государственную тайну,  содержащейся в государственных информационных системах, устанавливаемыми  ФСТЭК России в пределах своих полномочий.

 

II. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

 

8. В систему защиты персональных данных в зависимости от актуальных угроз безопасности персональных данных и структурно-функциональных характеристик информационной системы персональных данных включаются следующие меры:

  • обеспечение доверенной загрузки;
  • идентификацию и аутентификацию субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защиту машинных носителей информации;
  • регистрацию событий безопасности;
  • обеспечение целостности информационной системы и информации;
  • защиту среды виртуализации;
  • защиту технических средств;
  • защиту информационной системы, ее средств и систем связи и передачи данных.

8.1. Меры по обеспечению доверенной загрузки должны исключать несанкционированное использование средств вычислительной техники и получение возможности доступа к персональным данным в обход системы защиты персональных данных.

Меры по обеспечению доверенной загрузки включают:

  • блокировку доступа к ресурсам средств вычислительной техники;
  • блокировку загрузки нештатной операционной системы или программного обеспечения, способного модифицировать загрузочную область штатной операционной системы, в том числе со съемных машинных носителей информации;
  • блокировку интерфейсов и цепей питания средств вычислительной техники.

8.2. Меры по идентификации и аутентификации должны обеспечивать присвоение субъектам доступа и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности).

Меры по идентификации и аутентификации включают:

  • идентификацию и аутентификацию пользователей, процессов, иных субъектов доступа;
  • идентификацию и аутентификацию устройств (в том числе стационарных, мобильных и портативных), объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным программным обеспечением, иных объектов доступа;
  • управление идентификаторами;
  • управление средствами аутентификации;
  • защиту обратной связи при вводе аутентификационной информации;
  • идентификацию и аутентификацию внешних пользователей.

8.3. Меры по управлению доступом должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль соблюдения этих правил.

Меры по управлению доступом включают:

  • управление учетными записями пользователей;
  • управление предоставлением доступа субъектов доступа к объектам доступа (реализацию различных методов, типов и правил разграничения доступа), в том числе при совместном использовании информации несколькими субъектами доступа;
  • управление информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами;
  • разделение обязанностей различных категорий пользователей и администраторов информационной системы;
  • назначение минимальных прав и привилегий субъектам доступа;
  • управление неуспешными попытками входа в информационную систему (доступа к информационной системе);
  • оповещение пользователя о доступе к информационной системе, в которой реализованы меры защиты информации, при его входе в информационную систему;
  • оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему;
  • ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы;
  • блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу;
  • установление действий пользователей, разрешенных до идентификации и аутентификации;
  • поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения, обработки и передачи;
  • управление удаленным доступом субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети;
  • ограничение и контроль использования в информационной системе технологий беспроводного доступа;
  • ограничение и контроль использования в информационной системе мобильных технических средств (устройств, машинных носителей информации);
  • управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы).

8.4. Меры по ограничению программной среды должны исключать установку (инсталляцию) неиспользуемого в обработке персональных данных или запрещенного к использованию программного обеспечения (в том числе средств разработки и отладки программ), а также их загрузку (запуск) после установки.

Меры по ограничению программной среды включают:

  • управление запуском (обращениями) компонентов программного обеспечения;
  • управление установкой (инсталляцией) компонентов программного обеспечения;
  • запрет установки (инсталляции) запрещенного к использованию программного обеспечения и (или) его компонентов, в том числе средств разработки и отладки;
  • управление записью временных файлов.

8.5. Меры по защите машинных носителей информации должны исключать несанкционированный доступ к носителям и персональным данным хранящимся на них, а также несанкционированное использование съемных машинных носителей информации.

Меры по защите машинных носителей информации включают:

  • маркировку и учет машинных носителей информации;
  • управление доступом к машинным носителям информации;
  • контроль перемещения машинных носителей информации за пределы контролируемой зоны;
  • использование способов хранения персональных данных на машинных носителях информации, не позволяющих несанкционированно ознакомиться с ее содержанием, а также использовать носитель информации в иных информационных системах;
  • контроль использования интерфейсов ввода (вывода);
  • контроль ввода (вывода) персональных данных на машинные носители информации;
  • контроль подключения машинных носителей информации;
  • уничтожение (стирание) персональных данных на машинных носителях информации;
  • контроль уничтожения (стирания) персональных данных на машинных носителях информации.

8.6. Меры по регистрации событий безопасности должны обеспечивать распознавание, запись, хранение и защиту информации о событиях в информационной системе, относящихся к безопасности персональных данных, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

Меры по регистрации событий безопасности включают:

  • определение событий, относящихся к безопасности персональных данных и подлежащих регистрации;
  • определение состава и содержания информации о событиях, относящихся к безопасности персональных данных и подлежащих регистрации;
  • обеспечение возможности просмотра и анализа информации о действиях пользователей;
  • резервирование необходимого объема памяти для записи информации о событиях, относящихся к безопасности персональных данных;
  • запись (регистрация) информации о событиях, относящихся к безопасности персональных данных;
  • реагирование на сбои при регистрации событий, относящихся к безопасности персональных данных, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения емкости памяти;
  • просмотр и анализ результатов регистрации событий, относящихся к безопасности персональных данных, и реагирование на них;
  • сокращение объема информации о событиях, относящихся к безопасности персональных данных, предоставляемой для просмотра и анализа;
  • генерирование временных меток и синхронизация системного времени в информационной системе;
  • защиту информации о событиях, относящихся к безопасности персональных данных;
  • обеспечение необходимого времени хранения информации о событиях, относящихся к безопасности персональных данных.

8.7. Меры по обеспечению целостности информационной системы и информации должны обеспечивать обнаружение фактов нарушения целостности информационной системы и информации, возможность восстановления информационной системы и информации, а также антивирусную защиту, обнаружение вторжений в информационную систему и реагирование на них.

Меры по обеспечению целостности информационной системы и персональных данных включают:

  • выявление, анализ и устранение уязвимостей и иных недостатков в программном обеспечении;
  • контроль установки обновлений программного обеспечения;
  • антивирусную защиту;
  • обнаружение вторжений;
  • контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации;
  • контроль целостности персональных данных и программного обеспечения;
  • контроль состава технических средств обработки персональных данных и программного обеспечения;
  • обеспечение возможности восстановления персональных данных и программного обеспечения;
  • обнаружения и реагирование на факты передачи в информационную систему информации (сообщений), не относящиеся к функционированию информационной системы (незапрашиваемых сообщений);
  • ограничение прав пользователей по вводу информации в информационную систему;
  • контроль точности, полноты и правильности информации, вводимой в информационную систему;
  • контроль ошибочных действий пользователей по вводу и (или) передаче персональных данных;
  • прогнозирование и предотвращение возможных отказов технических средств, реагирование на отказы технических средств.

8.8. Меры по защите среды виртуализации должны исключать несанкционированный доступ к объектам защиты виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, гипервизору, системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

Меры по защите среды виртуализации включают:

  • аутентификацию компонентов виртуальной инфраструктуры, администраторов управления средствами виртуализации, терминальных устройств виртуальной инфраструктуры;
  • управление доступом к компонентам виртуальной инфраструктуры;
  • управление потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры;
  • доверенную загрузку серверов виртуализации, виртуальной машины (контейнера) и серверов управления виртуализацией;
  • разграничение доступа к данным, обрабатываемым в виртуальных машинах (контейнерах), и (или) изоляцию виртуальных машин (контейнеров);
  • управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных;
  • регистрацию событий в виртуальной инфраструктуре, относящихся к безопасности персональных данных;
  • контроль целостности конфигураций компонентов виртуальной инфраструктуры и самих компонентов;
  • резервное копирование данных, резервирование технических средств и (или) программного обеспечения виртуальной инфраструктуры, а также каналов связи виртуальной инфраструктуры;
  • распределенное хранение данных и восстановление информации после сбоев;
  • реализацию и управление антивирусной защитой и обнаружение вторжений, направленных на виртуальную инфраструктуру.

8.9. Меры по защите технических средств информационной системы должны обеспечивать ограничение доступа к техническим средствам обработки персональных данных, средствам обеспечения функционирования информационной системы и в помещения в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.

Меры по защите технических средств включают:

  • защиту персональных данных от утечки по техническим каналам;
  • защиту от несанкционированного физического доступа к средствам обработки персональных данных, средствам защиты информации и средствам обеспечения функционирования информационной системы;
  • защиту от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов).

8.10. Меры по защите информационной системы, ее средств и систем связи и передачи данных должны обеспечивать защиту информации при взаимодействии сегментов информационной системы, информационной системы с иными информационными системами и информационно-телекоммуникационными сетями.

Меры по защите информационной системы, ее средств и систем связи и передачи данных включают:

  • отделение (физическое, логическое) функциональных возможностей по управлению (администрированию) информационной системы и (или) ее сегментов, устройств от функциональных возможностей пользователей по использованию информационной системы;
  • изоляцию (физическую, логическую) функций информационной системы, связанных с обеспечением безопасности персональных данных (функций безопасности), от иных функций информационной системы, не связанных с обеспечением безопасности персональных данных;
  • исключение доступа текущего субъекта доступа к информации, полученной в результате действий предыдущего субъекта доступа, через общие ресурсы информационной системы (реестры, оперативную память, внешние запоминающие устройства и иные ресурсы);
  • защиту информационной системы от действий нарушителей, приводящих к затруднению или невозможности доступа пользователей к ресурсам этой информационной системы (защита от отказа в обслуживании);
  • предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом;
  • обеспечение защиты периметра информационной системы и периметров ее сегментов при взаимодействии информационной системы с иными информационными системами и информационно-телекоммуникационными сетями, а также при взаимодействии сегментов информационной системы, включая контроль потоков информации  и управление потоками информации;
  • обеспечение безопасности персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при их передачи (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны;
  • прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения;
  • обеспечение доверенного взаимодействия (канала передачи данных) между пользователем и средствами защиты информации (функциями безопасности средств защиты информации);
  • обеспечение целостности и доступности общедоступных персональных данных и программного обеспечения, предназначенного для их обработки (доступа к ним);
  • запрет несанкционированной удаленной активации, включая физическое отключение, периферийных устройств (видеокамер, микрофонов и иных устройств, которые могут активироваться удаленно) и оповещение пользователей об активации таких устройств;
  • передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с персональными данными, при обмене персональными данными с иными информационными системами;
  • контроль использования и исключение несанкционированного использования технологий мобильного кода, регистрация событий, связанных с использованием технологии мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологии мобильного кода;
  • контроль использования и исключение несанкционированного использования технологий передачи речи, регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи;
  • контроль (подтверждение происхождения) источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам, обеспечение ее доступности и целостности;
  • обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов;
  • перевод (обеспечение возврата) информационной системы или ее устройств (компонентов) в заранее определенное состояние, обеспечивающее защиту персональных данных в случае возникновении отказов (сбоев) в системе защиты информации информационной системы;
  • использование устройств, имеющих минимальные функциональные возможности и память для обработки и хранения персональных данных;
  • создание (эмуляцию) несуществующих (ложных) информационных систем или их компонентов, предназначенных для обнаружения, регистрации и анализа действий нарушителей по реализации угроз безопасности персональных данных;
  • использование при создании информационной системы различных типов общесистемного, прикладного и специального программного обеспечения;
  • использование прикладного и специального программного обеспечения, функционирующего на различных типах операционных систем;
  • обеспечение защиты информации (данных), которая не подлежит изменению в процессе функционирования информационной системы (архивные файлы, параметры настройки средств защиты информации и программного обеспечения и иная информация пользователей и информационной системы);
  • воспроизведение несуществующих (ложных) и (или) скрытие отдельных структурно-функциональных характеристик информационной системы и (или) параметров настройки средств защиты информации и программного обеспечения для введения в заблуждение нарушителей при реализации ими угроз безопасности персональных данных;
  • выявление, анализ и блокирование при создании информационной системы скрытых каналов передачи информации в обход реализованных мер по обеспечению безопасности персональных данных или внутри разрешенных сетевых протоколов;
  • разбиение информационной системы на сегменты с учетом значимости обрабатываемых в них персональных данных и обеспечение защиты периметров сегментов информационной системы (сегментирование информационной системы);
  • обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспечения.
  • изоляция процессов (выполнение программ) в выделенной области памяти;
  • защита внутренних и внешних беспроводных соединений, применяемых в информационной системе.

9. Блокирование (нейтрализация) актуальных угроз безопасности персональных данных  обеспечивается посредством выбора и реализации в системе защиты персональных данных мер по обеспечению безопасности персональных данных.

Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в системе защиты персональных данных, включает:

  • выбор базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных, обрабатываемых в информационной системе, в соответствии с базовыми наборами мер по обеспечению безопасности персональных данных, приведенными в приложении № 1 к настоящему документу;
  • адаптацию выбранного базового набора мер по обеспечению безопасности персональных данных применительно к структурно-функциональным характеристикам информационной системы, реализуемым информационным технологиям, особенностям функционирования информационной системы, а также с учетом целей защиты персональных данных (конфиденциальности, целостности, доступности);
  • дополнение адаптированного базового набора мер по обеспечению безопасности персональных данных дополнительными мерами по обеспечению безопасности персональных данных, приведенными в приложении № 1 к настоящему документу, но не определенными в качестве базовых, и определение их содержания для обеспечения блокирования (нейтрализации) актуальных угроз безопасности персональных данных, а также дополнительными мерами, обеспечивающими выполнение требований по обеспечению безопасности персональных данных, установленными иными нормативными правовыми актами в области защиты информации.

10. При невозможности и (или) нецелесообразности реализации в системе защиты персональных данных отдельных выбранных мер по обеспечению безопасности персональных данных взамен них могут применяться иные (компенсирующие) меры по обеспечению безопасности персональных данных, обеспечивающие нейтрализацию актуальных угроз безопасности персональных данных.

В этом случае в ходе проектирования системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер по обеспечению безопасности персональных данных для нейтрализации актуальных угроз безопасности персональных данных.

11. Меры по обеспечению безопасности персональных данных выбираются и реализуются в системе защиты персональных данных применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, а также в среде виртуализации и облачных технологий.

12. Для обеспечения 4 уровня защищенности персональных данных в информационных системах персональных данных должны применяться средства защиты информации 6 класса защиты (6 класса защищенности средств вычислительной техники).

Для обеспечения 3 уровня защищенности персональных данных в информационных системах, в которых не определены в качестве актуальных  угрозы 2-го типа и которые не подключены к информационно-телекоммуникационным сетям международного информационного обмена, должны применяться средства защиты информации не ниже 5 класса защиты (5 класса защищенности средств вычислительной техники).

Для обеспечения 1 и 2 уровня защищенности персональных данных в информационных системах персональных данных, а также 3 уровня защищенности персональных данных в информационных системах, в которых определены в качестве актуальных угрозы 2-го типа или которые подключены к информационно-телекоммуникационным сетям международного информационного обмена, должны применяться средства защиты информации не ниже 4 класса защиты (5 класса защищенности средств вычислительной техники).

13. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности персональных данных, для которых в настоящем документе не определены меры по обеспечению безопасности персональных данных, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 настоящего документа. 

 

Приложение
к Составу и содержанию

организационных и технических мер
 по обеспечению безопасности
 персональных данных при их обработке
 в информационных системах
 персональных данных

 

Базовый состав мер по обеспечению безопасности персональных данных для соответствующего уровня защищенности персональных данных, обрабатываемых в информационной системе

 

Номер и условное обозначение меры

Меры по обеспечению безопасности персональных данных

Уровень защищенности

персональных данных

4

3

2

1

Обеспечение доверенной загрузки (ДЗГ)

ДЗГ.1

Блокировка доступа к ресурсам средств вычислительной техники

 

 

 

 

+

ДЗГ.2

Блокировка загрузки нештатной операционной системы или программного обеспечения, способного модифицировать загрузочную область штатной операционной системы, в том числе со съемных машинных носителей информации

 

 

 

 

 

ДЗГ.3

Блокировка интерфейсов и цепей питания средств вычислительной техники

 

 

 

 

 

Идентификация и аутентификация

субъектов доступа и объектов доступа (ИАФ)

ИАФ.1

Идентификация и аутентификация пользователей, процессов, иных субъектов доступа

 

+

+

+

+

ИАФ.2

Идентификация и аутентификация устройств (в том числе стационарных, мобильных и портативных), объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным программным обеспечением, иных объектов доступа

 

 

 

+

+

ИАФ.3

Управление идентификаторами

 

+

+

+

+

ИАФ.4

Управление средствами аутентификации

 

+

+

+

+

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

 

+

+

+

+

ИАФ.6

Идентификация и аутентификация внешних пользователей

 

+

+

+

+

Управление доступом

субъектов доступа к объектам доступа (УПД)

УПД.1

Управление учетными записями пользователей

 

+

+

+

+

УПД.2

Управление предоставлением доступа субъектов доступа к объектам доступа (реализацию различных методов, типов и правил разграничения доступа), в том числе при совместном использовании информации несколькими субъектами доступа

 

+

+

+

+

УПД.3

Управление информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

 

 

 

+

+

УПД.4

Разделение обязанностей различных категорий пользователей и администраторов информационной системы

 

 

+

+

+

УПД.5

Назначение минимальных прав и привилегий субъектам доступа

 

 

+

+

+

УПД.6

Управление неуспешными попытками входа в информационную систему (доступа к информационной системе)

 

+

+

+

+

УПД.7

Оповещение пользователя о доступе к информационной системе, в которой реализованы меры защиты информации, при его входе в информационную систему

 

 

 

 

+

УПД.8

Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему

 

 

 

 

 

УПД.9

Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

 

 

 

 

+

УПД.10

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

 

 

+

+

+

УПД.11

Установление действий пользователей, разрешенных до идентификации и аутентификации

 

+

+

+

+

УПД.12

Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения, обработки и передачи

 

 

 

 

 

УПД.13

Управление удаленным доступом субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

 

+

+

+

+

УПД.14

Ограничение и контроль использования в информационной системе технологий беспроводного доступа

 

+

+

+

+

УПД.15

Ограничение и контроль использования в информационной системе мобильных технических средств (устройств, машинных носителей информации)

 

+

+

+

+

УПД.16

Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

 

+

+

+

+

Ограничение программной среды (ОПС)

ОПС.1

Управление запуском (обращениями) компонентов программного обеспечения

 

 

 

 

+

ОПС.2

Управление установкой (инсталляцией) компонентов программного обеспечения

 

 

 

+

+

ОПС.3

Запрет установки (инсталляции) запрещенного к использованию программного обеспечения и (или) его компонентов, в том числе средств разработки и отладки

 

+

+

+

+

ОПС.4

Управление записью временных файлов

 

 

 

 

 

Защита машинных носителей информации (ЗНИ)

ЗНИ.1

Маркировка и учет машинных носителей информации

 

+

+

+

+

ЗНИ.2

Управление доступом к машинным носителям информации

 

+

+

+

+

ЗНИ.3

Контроль перемещения машинных носителей информации за пределы контролируемой зоны

 

 

 

 

 

ЗНИ.4

Использование способов хранения информации на машинных носителях информации, не позволяющих несанкционированно ознакомиться с ее содержанием, а также использовать носитель информации в иных информационных системах

 

 

 

 

 

ЗНИ.5

Контроль использования интерфейсов ввода (вывода)

 

 

 

+

+

ЗНИ.6

Контроль ввода (вывода) информации на машинные носители информации

 

 

 

 

 

ЗНИ.7

Контроль подключения машинных носителей информации

 

 

 

 

 

ЗНИ.8

Уничтожение (стирание) информации на машинных носителях

 

+

+

+

+

ЗНИ.9

Контроль уничтожения (стирания) информации на машинных носителях

 

+

+

+

+

Регистрация событий безопасности (РСБ)

РСБ.1

Определение событий, относящихся к безопасности персональных данных, и подлежащих регистрации

 

+

+

+

+

РСБ.2

Определение состава и содержания информации о событиях, относящихся к безопасности персональных данных, и подлежащих регистрации

 

+

+

+

+

РСБ.3

Обеспечение возможности просмотра и анализа информации о действиях пользователей

 

 

 

 

 

РСБ.4

Резервирование необходимого объема памяти для записи информации о событиях, относящихся к безопасности персональных данных

 

+

+

+

+

РСБ.5

Запись (регистрация) информации о событиях, относящихся к безопасности персональных данных

 

+

+

+

+

РСБ.6

Реагирование на сбои при регистрации событий, относящихся к безопасности персональных данных, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения емкости памяти

 

+

+

+

+

РСБ.7

Просмотр и анализ результатов регистрации событий, относящихся к безопасности персональных данных, и реагирование на них

 

+

+

+

+

РСБ.8

Сокращение объема информации о событиях, относящихся к безопасности персональных данных, предоставляемой для просмотра и анализа

 

 

 

+

+

РСБ.9

Генерирование временных меток и синхронизация системного времени в информационной системе

 

+

+

+

+

РСБ.10

Защита информации о событиях, относящихся к безопасности персональных данных

 

+

+

+

+

РСБ.11

Обеспечение необходимого времени хранения информации о событиях, относящихся к безопасности персональных данных

 

+

+

+

+

Обеспечение целостности

информационной системы и информации (ОЦЛ)

ОЦЛ.1

Выявление, анализ и устранение уязвимостей и иных недостатков в программном обеспечении

 

+

+

+

+

ОЦЛ.2

Контроль установки обновлений программного обеспечения

 

+

+

+

+

ОЦЛ.3

Антивирусная защита

 

+

+

+

+

ОЦЛ.4

Обнаружение вторжений

 

 

 

+

+

ОЦЛ.5

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

 

 

 

+

+

ОЦЛ.6

Контроль целостности информации и программного обеспечения

 

 

 

+

+

ОЦЛ.7

Контроль состава технических средств обработки информации и программного обеспечения

 

+

+

+

+

ОЦЛ.8

Обеспечение возможности восстановления информации и программного обеспечения

 

+

+

+

+

ОЦЛ.9

Обнаружения и реагирование на факты передачи в информационную систему информации (сообщений), не относящиеся к функционированию информационной системы (незапрашиваемых сообщений)

 

 

 

+

+

ОЦЛ.10

Ограничение прав пользователей по вводу информации в информационную систему

 

 

 

+

+

ОЦЛ.11

Контроль точности, полноты и правильности информации, вводимой в информационную систему

 

 

 

 

 

ОЦЛ.12

Контроль ошибочных действий пользователей по вводу и (или) передаче информации конфиденциального характера

 

 

 

 

 

ОЦЛ.13

Прогнозирование и предотвращение возможных отказов технических средств, реагирование на отказы технических средств

 

 

 

 

 

Защита среды виртуализации (ЗСВ)

ЗСВ.1

Аутентификация компонентов виртуальной инфраструктуры, администраторов управления средствами виртуализации, терминальных устройств виртуальной инфраструктуры

 

 

 

+

+

ЗСВ.2

Управление доступом к компонентам виртуальной инфраструктуры

 

+

+

+

+

ЗСВ.3

Управление потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры

 

 

 

+

+

ЗСВ.4

Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера) и серверов управления виртуализацией

 

 

 

 

 

ЗСВ.5

Разграничение доступа к данным, обрабатываемым в виртуальных машинах (контейнерах), и (или) изоляцию виртуальных машин (контейнеров)

 

 

 

+

+

ЗСВ.6

Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

 

 

 

+

+

ЗСВ.7

Регистрация событий в виртуальной инфраструктуре, относящихся к безопасности персональных данных

 

+

+

+

+

ЗСВ.8

Контроль целостности конфигураций компонентов виртуальной инфраструктуры и самих компонентов

 

 

 

+

+

ЗСВ.9

Резервное копирование данных, резервирование технических средств и (или) программного обеспечения виртуальной инфраструктуры, а также каналов связи виртуальной инфраструктуры

 

 

+

+

+

ЗСВ.10

Распределенное хранение данных и восстановление информации после сбоев

 

 

 

 

+

ЗСВ.11

Реализация и управление антивирусной защитой и обнаружение вторжений, направленных на виртуальную инфраструктуру

 

 

 

+

+

Защита технических средств (ЗТС)

ЗТС.1

Защиту информации от ее утечки по техническим каналам

 

 

 

 

 

ЗТС.2

Защита от несанкционированного физического доступа к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы

 

+

+

+

+

ЗТС.3

Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)

 

 

 

 

 

Защите информационной системы,

ее средств и систем связи и передачи данных (ЗИС)

ЗИС.1

Отделение (физическое, логическое) функциональных возможностей по управлению (администрированию) информационной системы и (или) ее сегментов, устройств от функциональных возможностей пользователей по использованию информационной системы

 

 

 

+

+

ЗИС.2

Изоляция (физическая, логическая) функций информационной системы, связанных с обеспечением защиты информации (функций безопасности), от иных функций информационной системы, не связанных с обеспечением безопасности персональных данных

 

 

 

 

+

ЗИС.3

Исключение доступа текущего субъекта доступа к информации, полученной в результате действий предыдущего субъекта доступа, через общие ресурсы информационной системы (реестры, оперативную память, внешние запоминающие устройства и иные ресурсы)

 

 

 

 

+

ЗИС.4

Защита информационной системы от действий нарушителей, приводящих к затруднению или невозможности доступа пользователей к ресурсам этой информационной системы (защита от отказа в обслуживании)

 

 

+

+

+

ЗИС.5

Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом

 

 

 

 

+

ЗИС.6

Обеспечение защиты периметра информационной системы и периметров ее сегментов при взаимодействии информационной системы с иными информационными системами и информационно-телекоммуникационными сетями, а также при взаимодействии сегментов информационной системы, включая контроль потоков информации  и управление потоками информации

 

+

+

+

+

ЗИС.7

Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при их передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны

 

+

+

+

+

ЗИС.8

Прекращение сетевых соединений по их завершению или по истечении заданного оператором временного интервала неактивности сетевого соединения

 

 

 

+

+

ЗИС.9

Обеспечение доверенного взаимодействия (канала передачи данных) между пользователем и средствами защиты информации (функциями безопасности средств защиты информации)

 

 

 

 

 

ЗИС.10

Обеспечение целостности и доступности общедоступных персональных данных и программного обеспечения, предназначенного для их обработки (доступа к ним)

 

+

+

+

+

ЗИС.11

Запрет несанкционированной удаленной активации, включая физическое отключение, периферийных устройств (видеокамер, микрофонов и иных устройств, которые могут активироваться удаленно) и оповещение пользователей об активации таких устройств

 

+

+

+

+

ЗИС.12

Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами

 

 

 

 

 

ЗИС.13

Контроль использования и исключение несанкционированного использования технологий мобильного кода, регистрация событий, связанных с использованием технологии мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологии мобильного кода

 

 

 

+

+

ЗИС.14

Контроль использования и исключение несанкционированного использования технологий передачи речи, регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи

 

 

 

+

+

ЗИС.15

Контроль (подтверждение происхождения) источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам, обеспечение ее доступности и целостности

 

+

+

+

+

ЗИС.16

Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов

 

 

 

+

+

ЗИС.17

Перевод (обеспечение возврата) информационной системы или ее устройств (компонентов) в заранее определенное состояние, обеспечивающее защиту персональных данных в случае возникновении отказов (сбоев) в системе защиты информации информационной системы

 

 

 

 

+

ЗИС.18

Использование устройств, имеющих минимальные функциональные возможности и память для обработки и хранения персональных данных

 

 

 

 

 

ЗИС.19

Создание (эмуляция) несуществующих (ложных) информационных систем или их компонентов, предназначенных для обнаружения, регистрации и анализа действий нарушителей по реализации угроз безопасности информации

 

 

 

 

 

ЗИС.20

Использование при создании информационной системы различных типов общесистемного, прикладного и специального программного обеспечения

 

 

 

 

 

ЗИС.21

Использование прикладного и специального программного обеспечения, функционирующего на различных типах операционных систем

 

 

 

 

 

ЗИС.22

Обеспечение защиты информации (данных), которая не подлежит изменению в процессе функционирования информационной системы (архивные файлы, параметры настройки средств защиты информации и программного обеспечения и иная информация пользователей и информационной системы)

 

 

 

+

+

ЗИС.23

Воспроизведение несуществующих (ложных) и (или) скрытие отдельных структурно-функциональных характеристик информационной системы и (или) параметров настройки средств защиты информации и программного обеспечения для введения в заблуждение нарушителей при реализации ими угроз безопасности персональных данных

 

 

 

 

 

ЗИС.24

Выявление, анализ и блокирование при создании информационной системы скрытых каналов передачи информации в обход реализованных мер по обеспечению безопасности персональных данных или внутри разрешенных сетевых протоколов

 

 

 

 

 

ЗИС.25

Разбиение информационной системы на сегменты с учетом значимости обрабатываемой в них персональных данных и обеспечение защиты периметров сегментов информационной системы (сегментирование информационной системы)

 

 

 

+

+

ЗИС.26

Обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспечения

 

 

 

 

 

ЗИС.27

Изоляция процессов (выполнение программ) в выделенной области памяти

 

 

 

 

 

ЗИС.28

Защита внутренних и внешних беспроводных соединений, применяемых в информационной системе

 

+

+

+

+

 

«+» - мера по обеспечению безопасности персональных данных применяется в качестве базовой для обеспечения безопасности персональных соответствующего уровня защищенности персональных данных.

Меры по обеспечению безопасности персональных данных, не обозначенные знаком «+» применяются при адаптации базового набора мер, дополнения адаптированного базового набора мер, а также при разработке компенсирующих мер по обеспечению безопасности персональных данных соответствующего уровня защищенности.

 

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК РОССИИ)

ПРИКАЗ

«___»_______201__г.      г. Москва                                        № ______

 

Об утверждении состава и содержания
организационных и технических мер по обеспечению безопасности персональных данных при их обработке
в информационных системах персональных данных 

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Собрание законодательства 2006, № 31, ст.3451; 2009, № 48, ст. 5716; № 52, ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173; ст. 4196; № 49, ст. 6409; 2011, № 23, ст. 3263; ст. 31, ст. 4701) и Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2005, № 13, ст. 1138; 2006, № 49, ст. 5192;
2008, № 43, ст. 4921; № 47, ст. 5431; 2012, № 7, ст. 818),
П Р И К А З Ы В А Ю:

1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

2. Установить, что настоящий приказ применяется для обеспечения безопасности персональных данный во вновь создаваемых (модернизируемых) информационных системах персональных данных.

3. Признать утратившим силу приказ ФСТЭК России
от 5 февраля 2010 г. № 58 «Об утверждении  Положения о методах и способах защиты информации в информационных системах персональных данных».  

 

Дополнительная информация:

Оставьте свой отзыв:

Похожие статьи:

Добавить комментарий


Защитный код
Обновить

Похожие статьи:

 

Самое читаемое:

Быстрый поиск

Группа вКонтакте: новости

 

Новости в Twitter и Facebook

  подписка на новости в twitter              Подписка на новости facebook

Инструкции к программам

Инструкции к программам

Новые информационные технологии и программы