Теперь определим ряд организационных и технических мер для 4-го уровня защищенности ПДн в соответствии с приказом ФСТЭК №21 (не рассматриваются меры защиты ПДн, являющихся гос. тайной и меры, связанные с применением криптографической защиты):
I. Идентификация и аутентификация субъектов доступа и объектов доступа;
— идентификация и аутентификация пользователей, являющихся работниками оператора;
— управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов;
— управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
— защита обратной связи при вводе аутентификационной информации;
— идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей);
II. Управление доступом субъектов доступа к объектам доступа:
— управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей;
— реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа;
— управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами;
— разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы;
— назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы;
— ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе);
— реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети;
— регламентация и контроль использования в информационной системе технологий беспроводного доступа;
— регламентация и контроль использования в информационной системе мобильных технических средств;
— управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы).
V. Регистрация событий безопасности:
— определение событий безопасности, подлежащих регистрации, и сроков их хранения;
— определение состава и содержания информации о событиях безопасности, подлежащих регистрации;
— сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения;
— защита информации о событиях безопасности.
VI. Антивирусная защита:
— реализация антивирусной защиты;
— обновление базы данных признаков вредоносных компьютерных программ (вирусов);
— контроль (анализ) защищенности персональных данных (АНЗ);
— контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации.
XI. Защита среды виртуализаци
