Номер и условное обозначение меры
|
Меры по обеспечению безопасности персональных данных
|
Срок реализации
|
Меры реализации
|
Исполнитель/
Ответственный
|
Идентификация и аутентификация
субъектов доступа и объектов доступа (ИАФ)
|
|
ИАФ.1
|
Идентификация и аутентификация пользователей, процессов, иных субъектов доступа
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
ИАФ.2
|
Идентификация и аутентификация устройств (в том числе стационарных, мобильных и портативных), объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным программным обеспечением, иных объектов доступа
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
ИАФ.3
|
Управление идентификаторами
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
ИАФ.4
|
Управление средствами аутентификации
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
ИАФ.5
|
Защита обратной связи при вводе аутентификационной информации
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
ИАФ.6
|
Идентификация и аутентификация внешних пользователей
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
Управление доступом
субъектов доступа к объектам доступа (УПД)
|
|
УПД.1
|
Управление учетными записями пользователей
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
УПД.2
|
Управление предоставлением доступа субъектов доступа к объектам доступа(реализацию различных методов, типов и правил разграничения доступа), в том числе при совместном использовании информации несколькими субъектами доступа
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
УПД.3
|
Управление информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
УПД.4
|
Разделение обязанностей различных категорий пользователей и администраторов информационной системы
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
УПД.5
|
Назначение минимальных прав и привилегий субъектам доступа
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
УПД.6
|
Управление неуспешными попытками входа в информационную систему (доступа к информационной системе)
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
УПД.10
|
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
УПД.11
|
Установление действий пользователей, разрешенных до идентификации и аутентификации
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
УПД.13
|
Управление удаленным доступом субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
УПД.14
|
Ограничение и контроль использования в информационной системе технологий беспроводного доступа
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
УПД.15
|
Ограничение и контроль использования в информационной системе мобильных технических средств (устройств, машинных носителей информации)
|
+
|
СЗИ Secret Net;
|
Администратор ПДн, Системный администратор
|
УПД.16
|
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)
|
+
|
СЗИ Secret Net;
Security Endpoint Protection
|
Администратор ПДн, Системный администратор
|
Ограничение программной среды (ОПС)
|
|
ОПС.2
|
Управление установкой (инсталляцией) компонентов программного обеспечения
|
+
|
Разграничение прав пользователей в AD
|
Администратор ПДн, Системный администратор
|
ОПС.3
|
Запрет установки (инсталляции) запрещенного к использованию программного обеспечения и(или) его компонентов, в том числе средств разработки и отладки
|
+
|
Разграничение прав пользователей в AD
|
Администратор ПДн, Системный администратор
|
Защита машинных носителей информации (ЗНИ)
|
|
ЗНИ.1
|
Маркировка и учет машинных носителей информации
|
+
|
Журнал учета машинных носителей информации
|
Администратор ПДн, Комиссия ПДн
|
ЗНИ.2
|
Управление доступом к машинным носителям информации
|
+
|
СЗИ DeviceLock
|
Администратор ПДн, Системный администратор
|
ЗНИ.5
|
Контроль использования интерфейсов ввода (вывода)
|
+
|
СЗИ DeviceLock
|
Администратор ПДн, Комиссия ПДн
|
ЗНИ.8
|
Уничтожение (стирание) информации на машинных носителях
|
+
|
Акт уничтожения информации на машинных носителях информации
|
Администратор ПДн, Комиссия Пдн
|
ЗНИ.9
|
Контроль уничтожения (стирания) информации на машинных носителях
|
+
|
Акт уничтожения информации на машинных носителях информации
|
Администратор ПДн, Комиссия Пдн
|
Регистрация событий безопасности (РСБ)
|
|
РСБ.1
|
Определение событий, относящихся к безопасности персональных данных, и подлежащих регистрации
|
+
|
Журнал регистрации событий безопасности
|
Администратор ПДн, Комиссия ПДн
|
РСБ.2
|
Определение состава и содержания информации о событиях, относящихся к безопасности персональных данных, и подлежащих регистрации
|
+
|
Журнал регистрации событий безопасности
|
Администратор ПДн, Системный администратор
|
РСБ.4
|
Резервирование необходимого объема памяти для записи информации о событиях, относящихся к безопасности персональных данных
|
+
|
Журнал регистрации событий безопасности
|
Администратор ПДн, Комиссия ПДн
|
РСБ.5
|
Запись (регистрация) информации о событиях, относящихся к безопасности персональных данных
|
+
|
Журнал регистрации событий безопасности
|
Администратор ПДн, Комиссия ПДн
|
РСБ.6
|
Реагирование на сбои при регистрации событий, относящихся к безопасности персональных данных, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения емкости памяти
|
+
|
Журнал регистрации событий безопасности
|
Администратор ПДн, Комиссия ПДн
|
РСБ.7
|
Просмотр и анализ результатов регистрации событий, относящихся к безопасности персональных данных, и реагирование на них
|
+
|
Журнал регистрации событий безопасности
|
Администратор ПДн, Комиссия ПДн
|
РСБ.8
|
Сокращение объема информации о событиях, относящихся к безопасности персональных данных, предоставляемой для просмотра и анализа
|
+
|
Журнал регистрации событий безопасности
|
Администратор ПДн, Комиссия ПДн
|
РСБ.9
|
Генерирование временных меток и синхронизация системного времени в информационной системе
|
+
|
Журнал регистрации событий безопасности
|
Администратор ПДн, Комиссия ПДн
|
РСБ.10
|
Защита информации о событиях, относящихся к безопасности персональных данных
|
+
|
Журнал регистрации событий безопасности
|
Администратор ПДн, Комиссия ПДн
|
РСБ.11
|
Обеспечение необходимого времени хранения информации о событиях, относящихся к безопасности персональных данных
|
+
|
Журнал регистрации событий безопасности
|
Администратор ПДн, Комиссия ПДн
|
Обеспечение целостности
информационной системы и информации (ОЦЛ)
|
|
ОЦЛ.1
|
Выявление, анализ и устранение уязвимостей и иных недостатков в программном обеспечении
|
+
|
План внутренних проверок режима защиты персональных данных в Обществе
|
Администратор ПДн, Комиссия ПДн
|
ОЦЛ.2
|
Контроль установки обновлений программного обеспечения
|
+
|
План внутренних проверок режима защиты персональных данных в Обществе
|
Администратор ПДн, Комиссия ПДн
|
ОЦЛ.3
|
Антивирусная защита
|
+
|
Инструкция по организации антивирусной защиты
|
Администратор ПДн, Комиссия ПДн
|
ОЦЛ.4
|
Обнаружение вторжений
|
+
|
План внутренних проверок режима защиты персональных данных в Обществе
|
Администратор ПДн, Комиссия ПДн
|
ОЦЛ.5
|
Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
|
+
|
Инструкция о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в ИСПДн
|
Администратор ПДн, Комиссия ПДн
|
ОЦЛ.6
|
Контроль целостности информации и программного обеспечения
|
+
|
Инструкция о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в ИСПДн
|
Администратор ПДн, Комиссия ПДн
|
ОЦЛ.7
|
Контроль состава технических средств обработки информации и программного обеспечения
|
+
|
Инструкция о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в ИСПДн
|
Администратор ПДн, Комиссия ПДн
|
ОЦЛ.8
|
Обеспечение возможности восстановления информации и программного обеспечения
|
+
|
Инструкция о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в ИСПДн
|
Администратор ПДн, Системный администратор
|
ОЦЛ.9
|
Обнаружения и реагирование на факты передачи в информационную систему информации (сообщений), не относящиеся к функционированию информационной системы (незапрашиваемых сообщений)
|
+
|
Анализ журнала регистрации событий безопасности
|
Администратор ПДн
|
ОЦЛ.10
|
Ограничение прав пользователей по вводу информации в информационную систему
|
+
|
Разграничение прав пользователей ИСПДн
|
Администратор ПДн, Системный администратор
|
Защита технических средств(ЗТС)
|
|
ЗТС.2
|
Защита от несанкционированного физического доступа к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы
|
+
|
Положение о Видеоконтроле, Положение о СКУД
Видеоконтроль в помещениях, пропускной режим, Журнал учета съемных носителей информации
|
Администратор ПДн, Комиссия ПДн
|
Защите информационной системы,
ее средств и систем связи и передачи данных (ЗИС)
|
|
ЗИС.1
|
Отделение (физическое, логическое) функциональных возможностей по управлению (администрированию) информационной системы и (или) ее сегментов, устройств от функциональных возможностей пользователей по использованию информационной системы
|
+
|
СЗИ Secret Net, DeviceLock, Security Endpoint Protection
|
Администратор ПДн, Системный администратор
|
ЗИС.4
|
Защита информационной системы от действий нарушителей, приводящих к затруднению или невозможности доступа пользователей к ресурсам этой информационной системы (защита от отказа в обслуживании)
|
+
|
СЗИ Secret Net, DeviceLock, Security Endpoint Protection
|
Администратор ПДн, Системный администратор
|
ЗИС.6
|
Обеспечение защиты периметра информационной системы и периметров ее сегментов при взаимодействии информационной системы с иными информационными системами и информационно-телекоммуникационными сетями, а также при взаимодействии сегментов информационной системы, включая контроль потоков информации и управление потоками информации
|
+
|
Security Endpoint Protection
|
Администратор ПДн, Системный администратор
|
ЗИС.7
|
Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при их передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны
|
+
|
Security Endpoint Protection
|
Администратор ПДн, Комиссия ПДн
|
ЗИС.8
|
Прекращение сетевых соединений по их завершению или по истечении заданного оператором временного интервала неактивности сетевого соединения
|
+
|
Security Endpoint Protection
|
Администратор ПДн, Системный администратор, Комиссия ПДн
|
ЗИС.10
|
Обеспечение целостности и доступности общедоступных персональных данных и программного обеспечения, предназначенного для их обработки (доступа к ним)
|
+
|
СЗИ Secret Net
|
Администратор ПДн, Системный администратор
|
ЗИС.11
|
Запрет несанкционированной удаленной активации, включая физическое отключение, периферийных устройств (видеокамер, микрофонов и иных устройств, которые могут активироваться удаленно) и оповещение пользователей об активации таких устройств
|
+
|
СЗИ Secret Net, Security Endpoint Protection, Видеоконтроль в помещениях, пропускной режим
|
Администратор ПДн, Системный администратор, Комиссия ПДн
|
ЗИС.15
|
Контроль (подтверждение происхождения) источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам, обеспечение ее доступности и целостности
|
+
|
Security Endpoint Protection
|
Администратор ПДн, Системный администратор
|
ЗИС.16
|
Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов
|
+
|
Security Endpoint Protection
|
Администратор ПДн, Системный администратор
|
ЗИС.22
|
Обеспечение защиты информации (данных), которая не подлежит изменению в процессе функционирования информационной системы (архивные файлы, параметры настройки средств защиты информации и программного обеспечения и иная информация пользователей и информационной системы)
|
+
|
СЗИ Secret Net, Security Endpoint Protection
|
Администратор ПДн, Системный администратор
|
ЗИС.25
|
Разбиение информационной системы на сегменты с учетом значимости обрабатываемой в них персональных данных и обеспечение защиты периметров сегментов информационной системы (сегментирование информационной системы)
|
+
|
Security Endpoint Protection
|
Администратор ПДн, Системный администратор
|
ЗИС.28
|
Защита внутренних и внешних беспроводных соединений, применяемых в информационной системе
|
+
|
Security Endpoint Protection
|
Администратор ПДн, Системный администратор
|
