КОММЕРЧЕСКАЯ ТАЙНА
advertisement
КОММЕРЧЕСКАЯ ТАЙНА Общество с ограниченной ответственностью «_________________» Москва, ___________________________________ Экз. № 1 УТВЕРЖДАЮ Генеральный директор ООО «___________» ____________________ _______________________ «__» ______ 201__ года м.п. СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн №3 «СКУД» Москва 201__ год 1 Основные характеристики информационной системы персональных данных «СКУД» (ИСПДн №3 «СКУД») Общества с ограниченной ответственностью «_____» (далее – Общество): Исходный класс защищенности ИСПДн №3 – средний, многопользовательский режим с разграничением прав допуска. ИСПДн №3 присвоен 3-й уровень защищенности в соответствии с Актом определения необходимого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных «СКУД», утвержденным Генеральным директором «__» __________ 201_ года. В соответствии с Приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Комиссией по персональным данным Общества были определены следующие, перечисленные в таблице №1, меры по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных «СКУД»: Таблица 1 Номер и условное обозначение меры Меры по обеспечению безопасности персональных данных для 3-ого уровня защищенности ИСПДн Реализация Срок реализации Исполнитель/ Ответственный Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) ИАФ.1 Идентификация и аутентификация пользователей, процессов, иных субъектов доступа ИАФ.3 Управление идентификаторами ИАФ.4 СЗИ Secret Net; Администратор ПДн, Системный администратор СЗИ Secret Net; Администратор ПДн, Системный администратор Управление средствами аутентификации СЗИ Secret Net; Администратор ПДн, Системный администратор ИАФ.5 Защита обратной связи при вводе аутентификационной информации СЗИ Secret Net; Администратор ПДн, Системный администратор ИАФ.6 Идентификация и аутентификация внешних пользователей СЗИ Secret Net; Администратор ПДн, Системный администратор Управление доступом субъектов доступа к объектам доступа (УПД) УПД.1 Управление учетными записями пользователей СЗИ Secret Net; УПД.2 Управление предоставлением СЗИ Secret Net; Администратор ПДн, Системный администратор Администратор ПДн, Системный администратор 2 УПД.4 УПД.5 УПД.6 УПД.10 УПД.11 УПД.13 УПД.14 УПД.15 УПД.16 доступа субъектов доступа к объектам доступа(реализацию различных методов, типов и правил разграничения доступа), в том числе при совместном использовании информации несколькими субъектами доступа Разделение обязанностей различных категорий пользователей и администраторов информационной системы Назначение минимальных прав и привилегий субъектам доступа Управление неуспешными попытками входа в информационную систему (доступа к информационной системе) Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу Установление действий пользователей, разрешенных до идентификации и аутентификации Управление удаленным доступом субъектов доступа к объектам доступа через внешние информационнотелекоммуникационные сети Ограничение и контроль использования в информационной системе технологий беспроводного доступа Ограничение и контроль использования в информационной системе мобильных технических средств (устройств, машинных носителей информации) Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) СЗИ Secret Net; Администратор ПДн, Системный администратор СЗИ Secret Net; Администратор ПДн, Системный администратор СЗИ Secret Net; Администратор ПДн, Системный администратор СЗИ Secret Net; Администратор ПДн, Системный администратор СЗИ Secret Net; Администратор ПДн, Системный администратор СЗИ Secret Net; Администратор ПДн, Системный администратор СЗИ Secret Net; Администратор ПДн, Системный администратор СЗИ Secret Net; Администратор ПДн, Системный администратор СЗИ Secret Net; Администратор ПДн, Системный администратор Ограничение программной 3 среды (ОПС) ОПС.3 Запрет установки (инсталляции) запрещенного к использованию программного обеспечения и(или) его компонентов, в том числе средств разработки и отладки Разграничение прав пользователей в AD Администратор ПДн, Системный администратор Журнал учета машинных носителей информации Администратор ПДн, Комиссия ПДн Защита машинных носителей информации (ЗНИ) ЗНИ.1 Маркировка и учет машинных носителей информации devicelock Администратор ПДн, Системный администратор ЗНИ.8 Управление доступом к машинным носителям информации Уничтожение (стирание) информации на машинных носителях Акт уничтожения информации на машинных носителях информации Администратор ПДн, Комиссия ПДн ЗНИ.9 Контроль уничтожения (стирания) информации на машинных носителях Акт уничтожения информации на машинных носителях информации Администратор ПДн, Комиссия ПДн Журнал регистрации событий безопасности Администратор ПДн, Комиссия ПДн Журнал регистрации событий безопасности Администратор ПДн, Системный администратор Журнал регистрации событий безопасности Администратор ПДн, Комиссия ПДн Журнал регистрации событий безопасности Администратор ПДн, Комиссия ПДн ЗНИ.2 Регистрация событий безопасности (РСБ) РСБ.1 РСБ.2 РСБ.4 РСБ.5 Определение событий, относящихся к безопасности персональных данных, и подлежащих регистрации Определение состава и содержания информации о событиях, относящихся к безопасности персональных данных, и подлежащих регистрации Резервирование необходимого объема памяти для записи информации о событиях, относящихся к безопасности персональных данных Запись (регистрация) информации о событиях, относящихся к безопасности персональных данных 4 РСБ.6 РСБ.7 РСБ.9 РСБ.10 РСБ.11 Реагирование на сбои при регистрации событий, относящихся к безопасности персональных данных, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения емкости памяти Просмотр и анализ результатов регистрации событий, относящихся к безопасности персональных данных, и реагирование на них Генерирование временных меток и синхронизация системного времени в информационной системе Защита информации о событиях, относящихся к безопасности персональных данных Обеспечение необходимого времени хранения информации о событиях, относящихся к безопасности персональных данных Журнал регистрации событий безопасности Администратор ПДн, Комиссия ПДн Журнал регистрации событий безопасности Администратор ПДн, Комиссия ПДн Журнал регистрации событий безопасности Администратор ПДн, Комиссия ПДн Журнал регистрации событий безопасности Администратор ПДн, Комиссия ПДн Журнал регистрации событий безопасности Администратор ПДн, Комиссия ПДн План внутренних проверок режима защиты персональных данных в Обществе Администратор ПДн, Комиссия ПДн План внутренних проверок режима защиты персональных данных в Обществе Администратор ПДн, Комиссия ПДн Инструкция по организации антивирусной защиты Администратор ПДн, План внутренних проверок режима защиты персональных данных в Обществе Администратор ПДн, Комиссия ПДн Инструкция о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты Администратор ПДн, Комиссия ПДн Обеспечение целостности информационной системы и информации (ОЦЛ) ОЦЛ.1 Выявление, анализ и устранение уязвимостей и иных недостатков в программном обеспечении ОЦЛ.2 Контроль установки обновлений программного обеспечения ОЦЛ.3 ОЦЛ.7 ОЦЛ.8 Антивирусная защита Контроль состава технических средств обработки информации и программного обеспечения Обеспечение возможности восстановления информации и программного обеспечения Комиссия ПДн 5 информации в ИСПДн Защита технических средств(ЗТС) ЗТС.2 Защита от несанкционированного физического доступа к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы Журнал учета съемных носителей информации Администратор ПДн, Комиссия ПДн СЗИ Secret Net, devicelock, VipNet Personal Firewall Администратор ПДн, Системный администратор VipNet Personal Firewall Администратор ПДн, Системный администратор VipNet Personal Firewall Администратор ПДн, Системный администратор Должностная инструкция пользователя ИСПДн Администратор ПДн, Комиссия ПДн Защите информационной системы, ее средств и систем связи и передачи данных (ЗИС) ЗИС.4 ЗИС.6 ЗИС.7 ЗИС.10 Защита информационной системы от действий нарушителей, приводящих к затруднению или невозможности доступа пользователей к ресурсам этой информационной системы (защита от отказа в обслуживании) Обеспечение защиты периметра информационной системы и периметров ее сегментов при взаимодействии информационной системы с иными информационными системами и информационнотелекоммуникационными сетями, а также при взаимодействии сегментов информационной системы, включая контроль потоков информации и управление потоками информации Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при их передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны Обеспечение целостности и доступности общедоступных персональных данных и программного обеспечения, предназначенного для их обработки 6 ЗИС.11 ЗИС.15 ЗИС.28 (доступа к ним) Запрет несанкционированной удаленной активации, включая физическое отключение, периферийных устройств (видеокамер, микрофонов и иных устройств, которые могут активироваться удаленно) и оповещение пользователей об активации таких устройств Контроль (подтверждение происхождения) источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам, обеспечение ее доступности и целостности Защита внутренних и внешних беспроводных соединений, применяемых в информационной системе Видеоконтроль, СКУД, devicelock, СЗИ Secret Net Администратор ПДн, Системный администратор, Комиссия ПДн VipNet Personal Firewall Администратор ПДн, Системный администратор Видеоконтроль, СКУД Администратор ПДн, Комиссия ПДн Председатель комиссии по персональным данным: __________________________ должность __________________ подпись _____________________ Ф.И.О. __________________________ должность __________________ подпись _____________________ Ф.И.О. __________________________ должность __________________ подпись _____________________ Ф.И.О. __________________________ должность __________________ подпись _____________________ Ф.И.О. __________________________ должность __________________ подпись _____________________ Ф.И.О. Члены комиссии: «___» _____ 201_ года 7 8