Требования предъявляемые при аттестации ИСПДн

АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.

От СТР-К переходим к следующим двум документам:

• "Руководящий документ. Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации"
• "Руководящий документ. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" - документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

• управления доступом;
• регистрации и учета;
• криптографической;
• обеспечения целостности.

Далее требования регламентируются сборником временных методик. Данный сборник включает в себя методики оценки защищенности конфиденциальной информации от утечки по техническим каналам: акустическому, виброакустическому, электроакустических преобразований во вспомогательных технических средствах и системах (ВТСС), побочных электромагнитных излучений и наводок от основных технических средств и систем (ОТСС), а так же наводок на ВТСС и их коммуникации.

Так же существовало, так называемое "Четверокнижие" от ФСТЭК. Но было утверждено решение первым заместителемдиректора ФСТЭК России5 марта 2010 г. о следующем: "В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 <Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных> (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: <Российская газета>, 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России: Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.; Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г."

После решения ФСТЭК об отмене действия двух методик из «четверокнижия», классификация ИСПДн проводится в соответствии с Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных".

Исходя из вышенаписанного, к классам ИСПДн предъявляются требования описанные ниже.

Для ИСПДн 4 класса перечень мероприятий определяется оператором в зависимости от возможного ущерба.

Для ИСПДн 3 класса, при много – или однопользовательском режиме обработки с равными или разными правами доступа, необходимо обеспечить следующее:

• управление доступом;
• регистрация и учет;
• обеспечение целостности;
• физическая охрана информационной;
• периодическое тестирование функций системы защиты;
• наличие средств восстановления системы защиты персональных данных.
Страницы: 1 2 3 все
• Однопользовательские ИСПДн
• Многопользовательские ИСПДн с равными правами доступа пользователей
• Многопользовательские ИСПДн с разными правами доступа пользователей
• Требования предъявляемые к ИСПДн при межсетевом экранировании
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе