Найти в Дзене
PersData
46 подписчиков

3 уровень защищенности персональных данных

393
5 мин
Оглавление
Изображение взято из открытых источников
Изображение взято из открытых источников

3 уровень защищенности персональных данных (УЗ3) является одним из 4 (четырех) уровней установленных Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 №1119.

Под 3 уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн).

Условия для определения 3-го уровня защищенности персональных данных

Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в ИСПДн устанавливается при наличии хотя бы одного из следующих условий:

  • для ИСПДн актуальны угрозы 2-го типа и ИСПДн обрабатывает общедоступные персональные данные сотрудников оператора персональных данных или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора персональных данных;
  • для ИСПДн актуальны угрозы 2-го типа и ИСПДн обрабатывает иные категории персональных данных сотрудников оператора персональных данных или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора персональных данных;
  • для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает специальные категории персональных данных сотрудников оператора персональных данных или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора персональных данных;
  • для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает биометрические персональные данные;
  • для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора персональных данных.
Условия для обеспечения 3-го уровня защищенности персональных данных
Условия для обеспечения 3-го уровня защищенности персональных данных

Требования Правительства РФ для обеспечения 3-го уровня защищенности персональных данных

Для обеспечения 3-го уровня защищенности персональных данных при их обработке в ИСПДн необходимо выполнение следующих требований:

  1. Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:
  • оснащения помещений входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода, а также опечатывания помещений по окончании рабочего дня или оборудование помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;
  • утверждения правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
  • утверждения перечня лиц, имеющих право доступа в помещения;

2. Обеспечение сохранности носителей персональных данных:

  • хранения съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;
  • поэкземплярного учета машинных носителей персональных данных, который достигается ведением журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров;

3. Утверждение руководителем оператора персональных данных документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;

4. Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз:

  • определить средства защиты информации для 3 уровня защищенности персональных данных.

5. назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в ИСПДн.

Требования ФСТЭК России для обеспечения 3-го уровня защищенности персональных данных

Меры по обеспечению 3-го уровня защищенности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 №1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.

В состав мер по обеспечению 3-го уровня защищенности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

  1. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ): ИАФ.1, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6;
  2. Управление доступом субъектов доступа к объектам доступа (УПД): УПД.1, УПД.2, УПД.3, УПД.4, УПД.5, УПД.6, УПД.10, УПД.11, УПД.13, УПД.14, УПД.15, УПД.16;
  3. Защита машинных носителей персональных данных (ЗНИ): ЗНИ.8
  4. Регистрация событий безопасности (РСБ): РСБ.1, РСБ.2, РСБ.3, РСБ.7;
  5. Антивирусная защита (АВЗ): АВЗ.1, АВЗ.2;
  6. Контроль (анализ) защищенности персональных данных (АНЗ): АНЗ.1, АНЗ.2, АНЗ.3, АНЗ.4;
  7. Защита среды виртуализации (ЗСВ): ЗСВ.1, ЗСВ.2, ЗСВ.3, ЗСВ.9, ЗСВ.10;
  8. Защита технических средств (ЗТС): ЗТС.3, ЗТС.4;
  9. Защита ИСПДн, ее средств, систем связи и передачи данных (ЗИС): ЗИС.3, ЗИС.20;
  10. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ): УКФ.1, УКФ.2, УКФ.3, УКФ.4.

Контроль за выполнением требований Правительства РФ к 3 уровню защищенности персональных данных

Контроль за выполнением требований для обеспечения 3-го уровня защищенности персональных данных организуется и проводится оператором персональных данных (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором персональных данных (уполномоченным лицом).

Оценка эффективности системы защиты персональных данных

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором персональных данных самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже 1 раза в 3 года.

Читайте также

4 уровень защищенности персональных данных
PersData7 августа 2023
Требования Правительства РФ к защите ПДн при их обработке в ИСПДн
PersData7 августа 2023
Определение типа актуальных угроз безопасности персональных данных
PersData7 сентября 2023
Правила доступа в помещение, где размещена ИСПДн (мера ЗТС.3)
PersData15 января 2024
Учет машинных носителей ПДн (мера ЗНИ.1)
PersData1 октября 2023
Процедура оценки соответствия средств защиты информации
PersData5 сентября 2023

Взгляните на эти темы
Безопасность и правопорядок
Гаджеты и электроника
Найти тему
Технологии и IT
Кибербезопасность
Общество
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Общество
14,16 млн интересуются