Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных | |
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | ||
ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | |
ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных | |
ИАФ.З | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | |
ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | |
ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | |
ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | |
II. Управление доступом субъектов доступа к объектам доступа (УПД) | ||
УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | |
УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | |
УПД.З | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | |
УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | |
УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | |
УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | |
УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | |
УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | |
УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | |
УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | |
УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | |
УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | |
УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | |
III. Ограничение программной среды (ОПС) | ||
ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения | |
IV. Защита машинных носителей персональных данных (ЗНИ) | ||
ЗНИ.1 | Учет машинных носителей персональных данных | |
ЗНИ. 2 | Управление доступом к машинным носителям персональных данных | |
ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания | |
V. Регистрация событий безопасности (РСБ) | ||
РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | |
РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | |
РСБ.З | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | |
РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | |
РСБ. 7 | Защита информации о событиях безопасности | |
VI. Антивирусная защита (АВЗ) | ||
АВ3.1 | Реализация антивирусной защиты | |
АВ3.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | |
VII. Обнаружение вторжений (СОВ) | ||
COB.l | Обнаружение вторжений | |
COB.2 | Обновление базы решающих правил | |
VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | ||
АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | |
АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | |
АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | |
АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | |
АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе | |
IХ.Обеспечение целостности информационной системы и персональных данных (ОЦЛ) | ||
ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации | |
ОЦЛ.4 | Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) | |
X. Обеспечение доступности персональных данных (ОДТ) | ||
ОДТ.4 | Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных | |
ОДТ. 5 | Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала | |
XI. Защита среды виртуализации (ЗСВ) | ||
ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | |
ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | |
ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | |
ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | |
ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций | |
ЗСВ. 8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | |
ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | |
ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей | |
XII. Защита технических средств (ЗТС) | ||
ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | |
ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | |
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | ||
ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | |
ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов | |
ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных | |
ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы | |
Ксения Шудроваэксперт по информационной безопасности, аспирант Сибирского государственного аэрокосмического университета |