требования к информационной системе
advertisement
Требования, предъявляемые к системам обработки ПДн 1. Наличие средства физической защиты (сейф, запираемый на ключ шкаф и пр.). 2. Наличие замков на двери помещения, в котором установлен компьютер. Желательно наличие металлической двери, решеток на окнах (первый и последний этажи). 3. В помещении должны находиться только те лица, которые перечислены в Приказе о перечне лиц, допущенных в помещение. Обслуживающий персонал должен находиться в помещении только в присутствии администратора безопасности информации. 4. Компьютер должен быть расположен в пределах контролируемой зоны. Контролируемая зона – помещения организации, присутствие в которых посторонних лиц без сотрудников организации (допущенных лиц) исключён. Например, кабинет директора, бухгалтерия и т.п. Перечень допущенных лиц должен быть составлен в Приказе о перечне лиц, допущенных в помещение. 5. Требуется наличие антивирусного средства, сертифицированного ФСТЭК. Рекомендуется Dr. Web, приобретенный непосредственно у производителя или его партнеров (список партнеров на официальном сайте drweb.ru). При покупке необходимо убедиться в наличии в комплекте поставки голографической наклейки ФСТЭК в формуляре. После получения дистрибутива необходимо сделать резервную копию на любом носителе. 6. Персональные данные должны обрабатываться на одном компьютере с установленной операционной системой семейства Windows. Не допустима установка более одной операционной системы. 7. Компьютер не должен быть подключен к сетям любого рода, в т.ч. Интернет. 8. Состав ПЭВМ должен иметь следующий вид: 8.1. системный блок 8.2. монитор 8.3. клавиатура 8.4. мышь 8.5. USB-накопитель (флешка) 8.6. принтер 9. Корпус компьютера должен быть опечатан администратором безопасности информации путем наклеивания на стык крышки и корпуса небольшого листа бумаги с печатью организации и подписью опечатывающего лица. Можно указать также дату опечатывания. 10. Доступ к персональным данным должен быть только у сотрудников организации, причем не у всех, а только тех, которым доступ необходим для выполнения служебных обязанностей. Они перечислены в Приказе о перечне лиц, допущенных к обработке персональных данных. 11. Не допускается установка на компьютер средств разработки и модификации программного кода (Visual Studio и т.п.). 12. Если осуществляется обслуживание 1С или других программ сторонними организациями, с ними должно быть заключено соглашение о конфиденциальности. 13. Перечень субъектов персональных данных, чьи персональные данные обрабатываются организацией, должен ограничиваться только работниками организации и их родственниками. Количество субъектов – не более 1000. 14. Перечень обрабатываемых персональных данных (автоматизированная и неавтоматизированная обработка) должен ограничиваться следующим списком: 14.1. Персональные данные сотрудников: 14.1.1. Фамилия; 14.1.2. Имя; 14.1.3. Отчество; 14.1.4. Гражданство; 14.1.5. Адрес регистрации; 14.1.6. Адрес фактический; 14.1.7. Паспортные данные: пол, дата и место рождения, серия, номер, кем и когда выдан паспорт; 14.1.8. ИНН; 14.1.9. СНИЛС; 14.1.10. Номер трудовой книжки; 14.1.11. Данные об образовании: наименование образовательного учреждения, год его окончания, специальность по диплому, данные о знании иностранных языков; 14.1.12. Данные военного билета: номер, кем и когда выдан; 14.1.13. Военно-учетная специальность; 14.1.14. Категория запаса; 14.1.15. Звание; 14.1.16. Номер банковской карты; 14.1.17. Данные о заработной плате; 14.1.18. Сведения о занимаемой должности; 14.1.19. Данные о льготах 14.1.20. Номер мобильного и домашнего телефона; 14.2. Персональные данные родственников сотрудников: 14.2.1. Ф.И.О. близких родственников. 14.2.2. Годы рождения близких родственников. 14.2.3. Адреса проживания близких родственников. 14.2.4. Телефоны близких родственников. Образец схемы расположения ПЭВМ относительно контролируемой зоны Принтер Монитор Системный блок Граница контролируемой зоны 2
