46 подписчиков

4 уровень защищенности персональных данных

7 августа 20237 авг 2023

378

4 мин

Оглавление

Условия для определения 4-го уровня защищенности персональных данных
Требования Правительства РФ для обеспечения 4-го уровня защищенности персональных данных
Требования ФСТЭК России для обеспечения 4-го уровня защищенности персональных данных

4 уровень защищенности персональных данных (УЗ4) является самым минимальным уровнем из 4 (четырех) уровней установленных Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 №1119.

Под 4 уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн).

Условия для определения 4-го уровня защищенности персональных данных

Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в ИСПДн устанавливается при наличии хотя бы одного из следующих условий:

для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает общедоступные персональные данные;
для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

Требования Правительства РФ для обеспечения 4-го уровня защищенности персональных данных

Для обеспечения 4-го уровня защищенности персональных данных при их обработке в ИСПДн необходимо выполнение следующих требований:

1. Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:

оснащения помещений входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода, а также опечатывания помещений по окончании рабочего дня или оборудование помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;
утверждения правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
утверждения перечня лиц, имеющих право доступа в помещения;

2. Обеспечение сохранности носителей персональных данных:

хранения съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;
поэкземплярного учета машинных носителей персональных данных, который достигается ведением журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров;

3. Утверждение руководителем оператора персональных данных документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;

4. Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз:

определить средства защиты информации для 4 уровня защищенности персональных данных.

Требования ФСТЭК России для обеспечения 4-го уровня защищенности персональных данных

Меры по обеспечению 4-го уровня защищенности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 №1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.

В состав мер по обеспечению 4-го уровня защищенности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ): ИАФ.1, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6;
Управление доступом субъектов доступа к объектам доступа (УПД): УПД.1, УПД.2, УПД.3, УПД.4, УПД.5, УПД.6, УПД.13, УПД.14, УПД.15, УПД.16;
Защита машинных носителей персональных данных (ЗНИ): ЗНИ.8
Регистрация событий безопасности (РСБ): РСБ.1, РСБ.2, РСБ.3, РСБ.7;
Антивирусная защита (АВЗ): АВЗ.1, АВЗ.2;
Контроль (анализ) защищенности персональных данных (АНЗ): АНЗ.2;
Защита среды виртуализации (ЗСВ): ЗСВ.1, ЗСВ.2;
Защита технических средств (ЗТС): ЗТС.3, ЗТС.4;
Защита ИСПДн, ее средств, систем связи и передачи данных (ЗИС): ЗИС.3.

Контроль за выполнением требований Правительства РФ к 4 уровню защищенности персональных данных

Контроль за выполнением требований для обеспечения 4-го уровня защищенности персональных данных организуется и проводится оператором персональных данных (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором персональных данных (уполномоченным лицом).

Оценка эффективности системы защиты персональных данных

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором персональных данных самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже 1 раза в 3 года.