Методические рекомендаци ИспДн. Методические рекомендации ИСПДн (1). Методические рекомендации по определению состава и содержания технических и организационных мер по защите персональных данных при их обработке в информационной системе персональных данных Содержание
Скачать 105.05 Kb.
|
) приведены в таблице5. Таблица 5 – Требования к некриптогрфическим средствам защиты информации
* - в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена; ** - в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена; *** - в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты; **** - в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена; ***** - в случае актуальности угроз 2-го типа. Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. Примечание. Конкретные наименования некриптографических средств защиты информации перечисленных классов защиты (3 класс, 4 класс и т.д.) выбираются из Государственного реестра сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (реестр размещён на официальном сайте ФСТЭК России (http://fstec.ru/) в разделе Техническая защита информация – Сертификация – Реестры). Средства вычислительной техники выбираются согласно руководящему документу «Средства вычислительной техники. Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации», утверждённому 30 марта 1992 г. После определения перечня мер по пунктам 3.1 и 3.2 настоящего документа итоговый перечень мер заносится в п. 2 шаблона «Состав и содержание мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (в шаблоне приведён пример перечня мер для 3-его уровня защищённости ПДн). Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом). При использовании в ИСПДн новых информационных технологий и выявлении дополнительных угроз безопасности ПДн, для которых не определены меры обеспечения их безопасности, должны разрабатываться соответствующие меры. |