по мерам обеспечения безопасности персональных данных

Министерство образования Рязанской области
Областное государственное бюджетное образовательное учреждение среднего
профессионального образования «Касимовский нефтегазовый колледж»
(ОГБОУ СПО «КНГК»)
Согласовано
Совет колледжа
Протокол
«18» марта 2013 г. № 1а
ИНСТРУКЦИЯ
по мерам обеспечения безопасности
персональных данных
2013г
Инструкция по мерам обеспечения безопасности персональных данных.
1. Данная инструкция разработана на основании Постановлении правительства РФ от
1.11.2012 г № 1119 "Об утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных", Приказа ФСТЭК России
от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и
технических мер по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных", Федерального закона Российской
Федерации «О персональных данных» № 152-ФЗ от 27.07.2006г.
2. Настоящий документ устанавливает требования к защите персональных данных
при их обработке в информационных системах персональных данных (далее информационные системы), которые должны быть направлены на нейтрализацию
актуальных угроз безопасности персональных данных.
3. Оператор при обработке персональных данных обязан принимать необходимые
правовые, организационные и технические меры или обеспечивать их принятие для
защиты персональных данных от неправомерного или случайного доступа к ним,
уничтожения, изменения, блокирования, копирования, предоставления, распространения
персональных данных, а также от иных неправомерных действий в отношении
персональных данных.
4. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в
информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных, необходимых для выполнения требований к защите персональных данных,
исполнение которых обеспечивает установленные Правительством Российской
Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия
средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности
персональных данных до ввода в эксплуатацию информационной системы персональных
данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и
принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных
вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в
информационной системе персональных данных, а также обеспечением регистрации и
учета всех действий, совершаемых с персональными данными в информационной системе
персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных
данных и уровня защищенности информационных систем персональных данных.
5. Правительство Российской Федерации с учетом возможного вреда субъекту
персональных данных, объема и содержания обрабатываемых персональных данных, вида
деятельности, при осуществлении которого обрабатываются персональные данные,
актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных
системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных
системах персональных данных, исполнение которых обеспечивает установленные
уровни защищенности персональных данных;
6. Состав и содержание необходимых для выполнения установленных
Правительством Российской Федерации в соответствии с пунктом 5 требований к защите
персональных данных для каждого из уровней защищенности, организационных и
технических мер по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных устанавливаются федеральным органом
исполнительной власти, уполномоченным в области обеспечения безопасности, и
федеральным органом исполнительной власти, уполномоченным в области
противодействия техническим разведкам и технической защиты информации, в пределах
их полномочий.
7. Федеральные органы исполнительной власти, осуществляющие функции по
выработке государственной политики и нормативно-правовому регулированию в
установленной сфере деятельности, органы государственной власти субъектов Российской
Федерации, Банк России, органы государственных внебюджетных фондов, иные
государственные органы в пределах своих полномочий принимают нормативные
правовые акты, в которых определяют угрозы безопасности персональных данных,
актуальные при обработке персональных данных в информационных системах
персональных данных, эксплуатируемых при осуществлении соответствующих видов
деятельности, с учетом содержания персональных данных, характера и способов их
обработки.
8. Использование и хранение биометрических персональных данных вне
информационных систем персональных данных могут осуществляться только на таких
материальных носителях информации и с применением такой технологии ее хранения,
которые обеспечивают защиту этих данных от неправомерного или случайного доступа к
ним, их уничтожения, изменения, блокирования, копирования, предоставления,
распространения.
9. Для целей настоящей статьи под угрозами безопасности персональных данных
понимается
совокупность
условий
и
факторов,
создающих
опасность
несанкционированного, в том числе случайного, доступа к персональным данным,
результатом которого могут стать уничтожение, изменение, блокирование, копирование,
предоставление, распространение персональных данных, а также иные неправомерные
действия при их обработке в информационной системе персональных данных. Под
уровнем защищенности персональных данных понимается комплексный показатель,
характеризующий требования, исполнение которых обеспечивает нейтрализацию
определенных угроз безопасности персональных данных при их обработке в
информационных системах персональных данных.
10. Безопасность персональных данных при их обработке в информационной системе
обеспечивает оператор этой системы, который обрабатывает персональные данные (далее
- оператор), или лицо, осуществляющее обработку персональных данных по поручению
оператора на основании заключаемого с этим лицом договора (далее - уполномоченное
лицо). Договор между оператором и уполномоченным лицом должен предусматривать
обязанность уполномоченного лица обеспечить безопасность персональных данных при
их обработке в информационной системе.
11. Выбор средств защиты информации для системы защиты персональных данных
осуществляется оператором в соответствии с нормативными правовыми актами,
принятыми Федеральной службой безопасности Российской Федерации и Федеральной
службой по техническому и экспортному контролю во исполнение части 4 статьи 19
Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от
27.07.2006г.
12. Информационная система является информационной системой, обрабатывающей
специальные категории персональных данных, если в ней обрабатываются персональные
данные, касающиеся расовой, национальной принадлежности, политических взглядов,
религиозных или философских убеждений, состояния здоровья, интимной жизни
субъектов персональных данных.
13. Информационная система является информационной системой, обрабатывающей
биометрические персональные данные, если в ней обрабатываются сведения, которые
характеризуют физиологические и биологические особенности человека, на основании
которых можно установить его личность и которые используются оператором для
установления личности субъекта персональных данных, и не обрабатываются сведения,
относящиеся к специальным категориям персональных данных.
14. Информационная система является информационной системой, обрабатывающей
общедоступные персональные данные, если в ней обрабатываются персональные данные
субъектов персональных данных, полученные только из общедоступных источников
персональных данных, созданных в соответствии со статьей 8 Федерального закона
Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006г.
15. Информационная система является информационной системой, обрабатывающей
иные категории персональных данных, если в ней не обрабатываются персональные
данные, указанные в абзацах первом - третьем настоящего пункта.
16. Информационная система является информационной системой, обрабатывающей
персональные данные сотрудников оператора, если в ней обрабатываются персональные
данные только указанных сотрудников. В остальных случаях информационная система
персональных данных является информационной системой, обрабатывающей
персональные данные субъектов персональных данных, не являющихся сотрудниками
оператора.
17. Под актуальными угрозами безопасности персональных данных понимается
совокупность
условий
и
факторов,
создающих
актуальную
опасность
несанкционированного, в том числе случайного, доступа к персональным данным при их
обработке в информационной системе, результатом которого могут стать уничтожение,
изменение, блокирование, копирование, предоставление, распространение персональных
данных, а также иные неправомерные действия.
18. Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны
угрозы, не связанные с наличием недокументированных (недекларированных)
возможностей в системном и прикладном программном обеспечении, используемом в
информационной системе.
19. Определение типа угроз безопасности персональных данных, актуальных для
информационной системы, производится оператором с учетом оценки возможного вреда,
проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона Российской
Федерации «О персональных данных» № 152-ФЗ от 27.07.2006г.", и в соответствии с
нормативными правовыми актами, принятыми во исполнение части 5 статьи 19
Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от
27.07.2006г.
20. При обработке персональных данных в информационных системах
устанавливаются 4 уровня защищенности персональных данных.
21. Необходимость обеспечения 4-го уровня защищенности персональных данных при
их обработке в информационной системе устанавливается при наличии хотя бы одного из
следующих условий:
а) для информационной системы актуальны угрозы 3-го типа и информационная
система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 3-го типа и информационная
система обрабатывает иные категории персональных данных сотрудников оператора или
иные категории персональных данных менее чем 100000 субъектов персональных данных,
не являющихся сотрудниками оператора.
22. Для обеспечения 4-го уровня защищенности персональных данных при их
обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена
информационная
система,
препятствующего
возможности
неконтролируемого
проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти
помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц,
доступ которых к персональным данным, обрабатываемым в информационной системе,
необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки
соответствия требованиям законодательства Российской Федерации в области
обеспечения безопасности информации, в случае, когда применение таких средств
необходимо для нейтрализации актуальных угроз.
23. Контроль за выполнением настоящих требований организуется и проводится
оператором (уполномоченным лицом) самостоятельно.Указанный контроль проводится не
реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
24. Оператор обязан опубликовать или иным образом обеспечить неограниченный
доступ к документу, определяющему его политику в отношении обработки персональных
данных, к сведениям о реализуемых требованиях к защите персональных данных.
Оператор, осуществляющий сбор персональных данных с использованием
информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей
информационно-телекоммуникационной сети документ, определяющий его политику в
отношении обработки персональных данных, и сведения о реализуемых требованиях к
защите персональных данных, а также обеспечить возможность доступа к указанному
документу
с
использованием
средств
соответствующей
информационнотелекоммуникационной сети.
25. Безопасность персональных данных при их обработке в информационной системе
персональных данных (далее - информационная система) обеспечивает оператор или
лицо, осуществляющее обработку персональных данных по поручению оператора в
соответствии с законодательством Российской Федерации.
26. Меры по обеспечению безопасности персональных данных реализуются в том
числе посредством применения в информационной системе средств защиты информации,
прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда
применение таких средств необходимо для нейтрализации актуальных угроз безопасности
персональных данных.
27. В состав мер по обеспечению безопасности персональных данных, реализуемых в
рамках системы защиты персональных данных с учетом актуальных угроз безопасности
персональных данных и применяемых информационных технологий, входят:
 идентификация и аутентификация субъектов доступа и объектов доступа;
 управление доступом субъектов доступа к объектам доступа;
 ограничение программной среды;
 защита машинных носителей информации, на которых хранятся и (или)
обрабатываются персональные данные (далее - машинные носители персональных
данных);
 регистрация событий безопасности;
 антивирусная защита;
 обнаружение (предотвращение) вторжений;
 контроль (анализ) защищенности персональных данных;
 обеспечение целостности информационной системы и персональных данных;
 обеспечение доступности персональных данных;
 защита среды виртуализации;
 защита технических средств;
 защита информационной системы, ее средств, систем связи и передачи данных;
 выявление инцидентов (одного события или группы событий), которые могут
привести к сбоям или нарушению функционирования информационной системы и (или) к
возникновению угроз безопасности персональных данных (далее - инциденты), и
реагирование на них;
 управление конфигурацией информационной системы и системы защиты
персональных данных.
28. Состав и содержание мер по обеспечению безопасности персональных данных,
необходимых для обеспечения 4 уровня защищенности персональных данных, приведены
ниже.
29. Меры по управлению доступом субъектов доступа к объектам доступа должны
обеспечивать управление правами и привилегиями субъектов доступа, разграничение
доступа субъектов доступа к объектам доступа на основе совокупности установленных в
информационной системе правил разграничения доступа, а также обеспечивать контроль
за соблюдением этих правил.
30. Меры по регистрации событий безопасности должны обеспечивать сбор, запись,
хранение и защиту информации о событиях безопасности в информационной системе, а
также возможность просмотра и анализа информации о таких событиях и реагирование на
них.
31. Меры по антивирусной защите должны обеспечивать обнаружение в
информационной системе компьютерных программ либо иной компьютерной
информации, предназначенной для несанкционированного уничтожения, блокирования,
модификации, копирования компьютерной информации или нейтрализации средств
защиты информации, а также реагирование на обнаружение этих программ и информации.
32. Меры по контролю (анализу) защищенности персональных данных должны
обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в
информационной системе, путем проведения систематических мероприятий по анализу
защищенности информационной системы и тестированию работоспособности системы
защиты персональных данных.
33. Меры по защите среды виртуализации должны исключать несанкционированный
доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к
компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к
средствам управления виртуальной инфраструктурой, монитору виртуальных машин
(гипервизору), системе хранения данных (включая систему хранения образов виртуальной
инфраструктуры), сети передачи данных через элементы виртуальной или физической
инфраструктуры, гостевым операционным системам, виртуальным машинам
(контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а
также системе резервного копирования и создаваемым ею копиям.
34. Меры по защите технических средств должны исключать несанкционированный
доступ к стационарным техническим средствам, обрабатывающим персональные данные,
средствам, обеспечивающим функционирование информационной системы (далее средства обеспечения функционирования), и в помещения, в которых они постоянно
расположены, защиту технических средств от внешних воздействий, а также защиту
персональных данных, представленных в виде информативных электрических сигналов и
физических полей.
35. Меры по защите информационной системы, ее средств, систем связи и передачи
данных должны обеспечивать защиту персональных данных при взаимодействии
информационной системы или ее отдельных сегментов с иными информационными
системами и информационно-телекоммуникационными сетями посредством применения
архитектуры информационной системы и проектных решений, направленных на
обеспечение безопасности персональных данных.
36. Выбор мер по обеспечению безопасности персональных данных, подлежащих
реализации в информационной системе в рамках системы защиты персональных данных,
включает:
 определение базового набора мер по обеспечению безопасности персональных
данных для установленного уровня защищенности персональных;
 адаптацию базового набора мер по обеспечению безопасности персональных
данных с учетом структурно-функциональных характеристик информационной системы,
информационных технологий, особенностей функционирования информационной
системы (в том числе исключение из базового набора мер, непосредственно связанных с
информационными технологиями, не используемыми в информационной системе, или
структурно-функциональными характеристиками, не свойственными информационной
системе);
 уточнение адаптированного базового набора мер по обеспечению безопасности
персональных данных с учетом не выбранных ранее мер, приведенных ниже, в результате
чего определяются меры по обеспечению безопасности персональных данных,
направленные на нейтрализацию всех актуальных угроз безопасности персональных
данных для конкретной информационной системы;
 дополнение уточненного адаптированного базового набора мер по обеспечению
безопасности персональных данных мерами, обеспечивающими выполнение требований к
защите персональных данных, установленными иными нормативными правовыми актами
в области обеспечения безопасности персональных данных и защиты информации.
37. При невозможности технической реализации отдельных выбранных мер по
обеспечению безопасности персональных данных, а также с учетом экономической
целесообразности на этапах адаптации базового набора мер и (или) уточнения
адаптированного базового набора мер могут разрабатываться иные (компенсирующие)
меры, направленные на нейтрализацию актуальных угроз безопасности персональных
данных.
38. В этом случае в ходе разработки системы защиты персональных данных должно
быть проведено обоснование применения компенсирующих мер для обеспечения
безопасности персональных данных.
39. При использовании в информационных системах сертифицированных по
требованиям безопасности информации средств защиты информации для обеспечения 4
уровня защищенности персональных данных применяются:
 -средства вычислительной техники не ниже 6 класса;
 -системы обнаружения вторжений и средства антивирусной защиты не ниже 5
класса;
 -межсетевые экраны 5 класса.
СОСТАВ И СОДЕРЖАНИЕ
МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ,
НЕОБХОДИМЫХ ДЛЯ ОБЕСПЕЧЕНИЯ 4 УРОВНЯ
ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Уровни защищенности персональных данных
Условное
Содержание мер по обеспечению безопасности
Уровень
обозначение и
персональных данных
защищенности
номер меры
персональных
данных
4
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ.1
Идентификация
и
аутентификация
пользователей,
являющихся
работниками
оператора
+
ИАФ.3
Управление идентификаторами, в том числе
создание,
присвоение,
уничтожение
идентификаторов
+
ИАФ.4
Управление средствами аутентификации, в том
числе
хранение,
выдача,
инициализация,
блокирование
средств
аутентификации
и
+
принятие мер в случае утраты и
компрометации средств аутентификации
(или)
ИАФ.5
Защита
обратной
связи
аутентификационной информации
вводе
+
ИАФ.6
Идентификация
и
аутентификация
пользователей, не являющихся работниками
оператора (внешних пользователей)
+
при
II. Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.1
Управление
(заведение,
активация,
блокирование и уничтожение) учетными записями
пользователей,
в
том
числе
внешних
пользователей
+
УПД.2
Реализация
необходимых
методов
(дискреционный, мандатный, ролевой или иной
метод), типов (чтение, запись, выполнение или
иной тип) и правил разграничения доступа
+
УПД.3
Управление (фильтрация, маршрутизация,
контроль соединений, однонаправленная передача
и иные способы управления) информационными
потоками между устройствами, сегментами
информационной системы, а также между
информационными системами
+
УПД.4
Разделение полномочий (ролей) пользователей,
администраторов
и
лиц,
обеспечивающих
функционирование информационной системы
+
УПД.5
Назначение минимально необходимых прав и
привилегий пользователям, администраторам и
лицам,
обеспечивающим
функционирование
информационной системы
+
УПД.6
Ограничение неуспешных попыток входа в
информационную
систему
(доступа
к
информационной системе)
+
УПД.13
Реализация защищенного удаленного доступа
субъектов доступа к объектам доступа через
внешние информационно-телекоммуникационные
сети
+
УПД.14
Регламентация и контроль использования в
информационной
системе
технологий
беспроводного доступа
+
УПД.15
Регламентация и контроль использования в
информационной
системе
мобильных
технических средств
+
УПД.16
Управление
взаимодействием
с
информационными
системами
сторонних
организаций (внешние информационные системы)
+
V. Регистрация событий безопасности (РСБ)
РСБ.1
Определение
событий
безопасности,
подлежащих регистрации, и сроков их хранения
+
РСБ.2
Определение
состава
и
информации
о
событиях
подлежащих регистрации
содержания
безопасности,
+
РСБ.3
Сбор, запись и хранение информации о
событиях безопасности в течение установленного
времени хранения
+
РСБ.7
Защита информации о событиях безопасности
+
VI. Антивирусная защита (АВЗ)
АВЗ.1
АВЗ.2
Реализация антивирусной защиты
Обновление
базы
данных
признаков
вредоносных компьютерных программ (вирусов)
+
+
VIII. Контроль (анализ) защищенности персональных данных (АНЗ)
АНЗ.2
Контроль установки обновлений программного
обеспечения, включая обновление программного
обеспечения средств защиты информации
+
XI. Защита среды виртуализации (ЗСВ)
ЗСВ.1
Идентификация и аутентификация субъектов
доступа и объектов доступа в виртуальной
инфраструктуре, в том числе администраторов
управления средствами виртуализации
+
ЗСВ.2
Управление доступом субъектов доступа к
объектам доступа в виртуальной инфраструктуре,
в том числе внутри виртуальных машин
+
XII. Защита технических средств (ЗТС)
ЗТС.3
Контроль и управление физическим доступом к
техническим средствам, средствам защиты
информации,
средствам
обеспечения
функционирования, а также в помещения и
сооружения, в которых они установлены,
исключающие несанкционированный физический
доступ к средствам обработки информации,
средствам защиты информации и средствам
обеспечения функционирования информационной
системы, в помещения и сооружения, в которых
они установлены
+
ЗТС.4
Размещение устройств вывода (отображения)
информации,
исключающее
ее
несанкционированный просмотр
+
XIII. Защита информационной системы, ее средств,
систем связи и передачи данных (3ИС)
ЗИС.3
Обеспечение защиты персональных данных от
раскрытия, модификации и навязывания (ввода
ложной информации) при ее передаче (подготовке
к передаче) по каналам связи, имеющим выход за
пределы контролируемой зоны, в том числе
беспроводным каналам связи
+
"+" - мера по обеспечению безопасности персональных данных включена в базовый
набор мер для соответствующего уровня защищенности персональных данных.
Меры по обеспечению безопасности персональных данных, не обозначенные знаком
"+", применяются при адаптации базового набора мер и уточнении адаптированного
базового набора мер, а также при разработке компенсирующих мер по обеспечению
безопасности персональных данных.
В связи с вышеуказанным в колледже предусмотрены следующие меры защиты
информационных систем:
1. Ответственным за информационную безопасность создаются (удаляются,
управляются) учетные записи пользователей для входа и работы в информационной
системы, индефикация проходит с помощью персонального пароля пользователя(при
вводе неверного пароля получить доступ к учетной записи не возможно).
2. Допуск к информационным системам пользователей не являющихся работниками
оператора запрещается.
3. Управлять индефикаторами может только администратор информационной
системы, пользователю для работы таких прав не выдано.
4. Учетная запись создается по приказу уполномоченного лица на лиц ответственных
за обработку персональных данных.
5. Защита персональных данных происходит за счет программных средств
операционной системы а также дополнительного программного обеспечения (антивирус).
6. Ответственным за информационную безопасность создаются(удаляются,
управляются) учетные записи пользователей для входа и работы в информационной
системы.
7. Учетная запись не обладает всеми правами доступа, а наделяется ограниченным
функционалом к которому имеет доступ по приказу.
8. При неверном вводе пароля на учетную запись не допускается многократные
попытки ввода на уровне операционной системы.
9. Доступ к информационной системе и данным которые в ней расположены имеют
только локальные пользователи допущенные к обработке персональных данных, обмен
информацией между компьютерами производиться через внешние носители информации
доступ к которым имеют только пользователи у которых есть на это право.
10. Контроль и безопасность передачи данных на сетевом уровне обеспечивает
браундмауэр а также антивирус с сетевыми модулями.
11. Ответственное лицо за информационную безопасность проводит учет внешних
носителей и ведет журнал выдачи съемных накопителей.
12. Сотрудникам запрещается использовать не учтенные средства переноса
информации.
13. Регламентация и контроль использования в информационной системе технологий
беспроводного доступа.
14. Регламентация и контроль использования в информационной системе мобильных
технических средств.
15. Управление взаимодействием с информационными системами сторонних
организаций (внешние информационные системы)- не применяются.
16. Запись событий индефикации и аутентификации проводятся с помощью системных
средств операционной системе, защита информации о событиях безопасности и храниться
в журнале событий OS Windows автоматически.
17. В информационной системе используется антивирус лаборатории Касперского для
поддержания защищенности всей системы на всех уровнях работы от локального до
сетевого. Обновление антивируса происходит ежедневно автоматически или по запросу
пользователя.
18. Также происходит автоматическое сканирование всех локальных или сетевых
активностей.
19. Контроль осуществляется за соответствие программного обеспечения
осуществляться администратором информационной системы.
20. Все мониторы располагаются так, чтобы информация, отображаемая при работе,
была видна только ответственным лицам. При отсутствии на рабочем месте кабинет
требуется закрывать для не возможности несанкционированного доступа.
21. Ответственным лицам, имеющим доступ к информационной системе персональных
данных запрещается допускать к информационным системам лиц, не указанным в приказе
с посторонними флешками.
22. Все сотрудники ознакомлены с правами доступа и уведомлены о неразглашении
персональных данных.