Номер и условное обозначение меры
|
Меры по обеспечению безопасности персональных данных для 3-ого уровня защищенности ИСПДн
|
Реализация
|
Срок реализации
|
Исполнитель/
Ответственный
|
Идентификация и аутентификация
субъектов доступа и объектов доступа (ИАФ)
|
|
ИАФ.1
|
Идентификация и аутентификация пользователей, процессов, иных субъектов доступа
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
ИАФ.3
|
Управление идентификаторами
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
ИАФ.4
|
Управление средствами аутентификации
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
ИАФ.5
|
Защита обратной связи при вводе аутентификационной информации
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
ИАФ.6
|
Идентификация и аутентификация внешних пользователей
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
Управление доступом
субъектов доступа к объектам доступа (УПД)
|
|
УПД.1
|
Управление учетными записями пользователей
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
УПД.2
|
Управление предоставлением доступа субъектов доступа к объектам доступа (реализацию различных методов, типов и правил разграничения доступа), в том числе при совместном использовании информации несколькими субъектами доступа
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
УПД.4
|
Разделение обязанностей различных категорий пользователей и администраторов информационной системы
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
УПД.5
|
Назначение минимальных прав и привилегий субъектам доступа
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
УПД.6
|
Управление неуспешными попытками входа в информационную систему (доступа к информационной системе)
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
УПД.10
|
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
УПД.11
|
Установление действий пользователей, разрешенных до идентификации и аутентификации
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
УПД.13
|
Управление удаленным доступом субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
УПД.14
|
Ограничение и контроль использования в информационной системе технологий беспроводного доступа
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
УПД.15
|
Ограничение и контроль использования в информационной системе мобильных технических средств (устройств, машинных носителей информации)
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
УПД.16
|
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)
|
СЗИ Secret Net;
|
|
Администратор ПДн, Системный администратор
|
Ограничение программной среды (ОПС)
|
|
ОПС.3
|
Запрет установки (инсталляции) запрещенного к использованию программного обеспечения и(или) его компонентов, в том числе средств разработки и отладки
|
Разграничение прав пользователей в AD
|
|
Администратор ПДн, Системный администратор
|
Защита машинныхносителей информации (ЗНИ)
|
|
ЗНИ.1
|
Маркировка и учет машинных носителей информации
|
Журнал учета машинных носителей информации
|
|
Администратор ПДн, Комиссия ПДн
|
ЗНИ.2
|
Управление доступом к машинным носителям информации
|
devicelock
|
|
Администратор ПДн, Системный администратор
|
ЗНИ.8
|
Уничтожение (стирание) информации на машинных носителях
|
Акт уничтожения информации на машинных носителях информации
|
|
Администратор ПДн, Комиссия ПДн
|
ЗНИ.9
|
Контроль уничтожения (стирания) информации на машинных носителях
|
Акт уничтожения информации на машинных носителях информации
|
|
Администратор ПДн, Комиссия ПДн
|
Регистрация событий безопасности (РСБ)
|
|
РСБ.1
|
Определение событий, относящихся к безопасности персональных данных, и подлежащих регистрации
|
Журнал регистрации событий безопасности
|
|
Администратор ПДн, Комиссия ПДн
|
РСБ.2
|
Определение состава и содержания информации о событиях, относящихся к безопасности персональных данных, и подлежащих регистрации
|
Журнал регистрации событий безопасности
|
|
Администратор ПДн, Системный администратор
|
РСБ.4
|
Резервирование необходимого объема памяти для записи информации о событиях, относящихся к безопасности персональных данных
|
Журнал регистрации событий безопасности
|
|
Администратор ПДн, Комиссия ПДн
|
РСБ.5
|
Запись (регистрация) информации о событиях, относящихся к безопасности персональных данных
|
Журнал регистрации событий безопасности
|
|
Администратор ПДн, Комиссия ПДн
|
РСБ.6
|
Реагирование на сбои при регистрации событий, относящихся к безопасности персональных данных, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения емкости памяти
|
Журнал регистрации событий безопасности
|
|
Администратор ПДн, Комиссия ПДн
|
РСБ.7
|
Просмотр и анализ результатов регистрации событий, относящихся к безопасности персональных данных, и реагирование на них
|
Журнал регистрации событий безопасности
|
|
Администратор ПДн, Комиссия ПДн
|
РСБ.9
|
Генерирование временных меток и синхронизация системного времени в информационной системе
|
Журнал регистрации событий безопасности
|
|
Администратор ПДн, Комиссия ПДн
|
РСБ.10
|
Защита информации о событиях, относящихся к безопасности персональных данных
|
Журнал регистрации событий безопасности
|
|
Администратор ПДн, Комиссия ПДн
|
РСБ.11
|
Обеспечение необходимого времени хранения информации о событиях, относящихся к безопасности персональных данных
|
Журнал регистрации событий безопасности
|
|
Администратор ПДн, Комиссия ПДн
|
Обеспечение целостности
информационной системы и информации (ОЦЛ)
|
|
ОЦЛ.1
|
Выявление, анализ и устранение уязвимостей и иных недостатков в программном обеспечении
|
План внутренних проверок режима защиты персональных данных в Обществе
|
|
Администратор ПДн, Комиссия ПДн
|
ОЦЛ.2
|
Контроль установки обновлений программного обеспечения
|
План внутренних проверок режима защиты персональных данных в Обществе
|
|
Администратор ПДн, Комиссия ПДн
|
ОЦЛ.3
|
Антивирусная защита
|
Инструкция по организации антивирусной защиты
|
|
Администратор ПДн, Комиссия ПДн
|
ОЦЛ.7
|
Контроль состава технических средств обработки информации и программного обеспечения
|
План внутренних проверок режима защиты персональных данных в Обществе
|
|
Администратор ПДн, Комиссия ПДн
|
ОЦЛ.8
|
Обеспечение возможности восстановления информации и программного обеспечения
|
Инструкция о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в ИСПДн
|
|
Администратор ПДн, Комиссия ПДн
|
Защита технических средств(ЗТС)
|
|
|
|
|
ЗТС.2
|
Защита от несанкционированного физического доступа к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы
|
Журнал учета съемных носителей информации
|
|
Администратор ПДн, Комиссия ПДн
|
Защите информационной системы,
ее средств и систем связи и передачи данных (ЗИС)
|
|
ЗИС.4
|
Защита информационной системы от действий нарушителей, приводящих к затруднению или невозможности доступа пользователей к ресурсам этой информационной системы (защита от отказа в обслуживании)
|
СЗИ Secret Net, devicelock, VipNet Personal Firewall
|
|
Администратор ПДн, Системный администратор
|
ЗИС.6
|
Обеспечение защиты периметра информационной системы и периметров ее сегментов при взаимодействии информационной системы с иными информационными системами и информационно-телекоммуникационными сетями, а также при взаимодействии сегментов информационной системы, включая контроль потоков информации и управление потоками информации
|
VipNet Personal Firewall
|
|
Администратор ПДн, Системный администратор
|
ЗИС.7
|
Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при их передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны
|
VipNet Personal Firewall
|
|
Администратор ПДн, Системный администратор
|
ЗИС.10
|
Обеспечение целостности и доступности общедоступных персональных данных и программного обеспечения, предназначенного для их обработки (доступа к ним)
|
Должностная инструкция пользователя ИСПДн
|
|
Администратор ПДн, Комиссия ПДн
|
ЗИС.11
|
Запрет несанкционированной удаленной активации, включая физическое отключение, периферийных устройств (видеокамер, микрофонов и иных устройств, которые могут активироваться удаленно) и оповещение пользователей об активации таких устройств
|
Видеоконтроль, СКУД, devicelock, СЗИ Secret Net
|
|
Администратор ПДн, Системный администратор, Комиссия ПДн
|
ЗИС.15
|
Контроль (подтверждение происхождения) источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам, обеспечение ее доступности и целостности
|
VipNet Personal Firewall
|
|
Администратор ПДн, Системный администратор
|
ЗИС.28
|
Защита внутренних и внешних беспроводных соединений, применяемых в информационной системе
|
Видеоконтроль, СКУД
|
|
Администратор ПДн, Комиссия ПДн
|