Определение необходимого уровня защищенности ПДн
На основании результатов анализа исходных данных об информационных системах обрабатывающих ПДн, и в соответствии с Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» информационная система относится к информационным системам, обрабатывающим специальные категории персональных данных персональных данных, не являющихся сотрудниками оператора.
Анализ угроз позволяет сделать вывод о том, что для ИСПДн, не актуальны угрозы обрабатываемым ПДн связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении и системном программном обеспечении, используемых в информационной системе, т.е. для ИСПДн актуальны угрозы 3-го типа.
На основании результатов анализа исходных данных об ИСПДн, на основе анализа угроз, и в соответствии с Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» информационной системе в случае обработки в них данных более чем 100 000 субъектов персональных данных, необходимо обеспечить 2-й уровень защищенности (по таблице №6).
РРР.УУ–NNNNNN, где
РРР – три цифры – код региона;
УУ – две цифры – код района (управления) в регионе;
NNNNNN –шесть цифр – порядковый номер носителя в «Журнале учета машинных носителей информации» (приложение 7).
Съемные носители информации, полученные для использования пользователем, заносятся по получении в «Опись машинных носителей и документов» (приложение 8). Возвращение носителей в места постоянного хранения производится под роспись в указанной описи.
Хранение носителей информации осуществляется в условиях, исключающих утрату их функциональности и хранимой информации из-за влияния внешних полей, излучений и иных неблагоприятных факторов, а также несанкционированный доступ к информации ограниченного доступа.
Ремонт серверов iSeries (i5) вне органов ПФР запрещается. При необходимости установленным порядком обеспечивается прибытие специалистов специализированных организаций к месту выполнения работ на территории ПФР.
Носители информации ограниченного доступа хранятся в сейфах (металлических шкафах с надежными замками) в условиях необходимого температурно-влажностного режима в помещениях с ограниченным доступом персонала.
В сейфах (или в непосредственной близости от них) размещаются средства эвакуации носителей в случае пожара или иных стихийных бедствий. Средства эвакуации (ящики или прочные мешки) носителей информации ограниченного доступа оснащаются приспособлениями для опечатывания.
Эвакуация носителей информации ограниченного доступа производится в места, исключающие бесконтрольный доступ к ним или их хищение. Места эвакуации определяются в инструкции по действиям в чрезвычайных ситуациях.
Порядок хранения носителей конфиденциальной информации, предназначенных к списанию (уничтожению), в том числе нечитаемых вследствие выхода из строя из-за неисправности (износа), не изменяется.
Ремонт носителей информации ограниченного доступа вне ПФР запрещается (в том числе ремонт или замена носителей, вышедших из строя в течение гарантийного срока).
Носители информации ограниченного доступа подлежат маркировке. Маркировка производится путем нанесения на корпус (картридж), или нерабочую поверхность пометки «конфиденциально».
К эксплуатации в составе вычислительного средства, предназначенного для обработки информации ограниченного доступа, допускаются только носители информации ограниченного доступа.
На корпус таких вычислительных средств наклеивается этикетка с указанием количества и учетных номеров установленных в нем носителей информации ограниченного доступа и напоминанием о запрете передачи этих носителей в ремонт вне ПФР.
Магнитные ленты.
На картридж ленты наклеивается одна или несколько этикеток, использующихся для указания конфиденциальности записываемой информации, места хранения, а также других сведений, обеспечивающих удобство работы с лентой.
Неизменная информация наносится черной или синей тушью (чернилами), пометка «конфиденциально» – красной или выделяется красным маркером.
По мере износа этикетки заменяются. Размеры и форма этикеток определяются конструкцией картриджа.
Накопители на жестких магнитных дисках.
Получение пользователем носителя информации ограниченного доступа на жестких магнитных дисках, входящих в комплект средства вычислительной техники (далее – СВТ), оформляется записью в карточке выдачи носителя информации.
Факт выхода из строя накопителя информации ограниченного доступа на жестких дисках устанавливается комиссией в составе специалистов подразделений информационных технологий (специалиста по автоматизации) защиты информации (лица, ответственного за защиту информации) и пользователя СВТ, в состав которого входит накопитель.
Заключение комиссии о выходе из строя носителя информации ограниченного доступа на жестких магнитных дисках оформляется «Актом технической экспертизы состояния носителя информации ограниченного доступа», утверждаемым руководителем органа ПФР.
В акте в обязательном порядке указываются:
время, место и основание составления акта;
идентификационные данные накопителя и укомплектованного им средства вычислительной техники;
характеристики накопителя;
место установки средства вычислительной техники;
характер записанной информации;
проявления неисправности и метод определения неработоспособности носителя;
вывод о выходе носителя из строя и причинах невозможности передачи его в ремонт сторонней организации для ремонта;
рекомендация по списанию носителя.
При необходимости изъятия накопителя из состава СВТ, находящегося на гарантийном обслуживании, составляется односторонний «Акт вскрытия гарантийного СВТ», с уведомлением гарантийной организации или представлением ей экземпляра (копии) акта.
Неисправный накопитель заменяется исправным носителем конфиденциальной информации, после чего соответствующие отметки делаются в «Журнале учета машинных носителей информации» и в соответствующей карточке учета средств вычислительной техники, а СВТ опечатывается.
«Акт технической экспертизы состояния носителя информации ограниченного доступа» является основанием для списания носителя с баланса организации установленным порядком и уничтожения.
В случае необходимости передачи в ремонт средства вычислительной техники, вышедшего из строя не из-за неисправности входящего в его состав носителя информации ограниченного доступа, накопитель из устройства изымается и заменяется другим, не являющимся носителем информации ограниченного доступа.
Изъятое устройство передается (возвращается) по карточке выдачи носителей информации на хранение лицу, ответственному за учет и хранение носителей информации в органе ПФР.
По возвращении СВТ из ремонта изъятый ранее носитель информации ограниченного доступа при необходимости устанавливается в присутствии ответственного за учет и хранение носителей обратно с оформлением соответствующей записи в карточке выдачи носителей информации.
Возвращение арендованных СВТ, имеющих в своем составе носители информации ограниченного доступа, производится после замены носителей на аналогичные модели или гарантированного уничтожения информации на них, если условиями аренды не предусмотрено возвращение СВТ без носителя информации.
Таблица №6
|
