В соответствии с ПП №1119 и приказом ФСБ №378 требования для 4-го уровня следующие:
1) Организация режима обеспечения безопасности помещений, в которых размещена информационная система (ИСПДн), препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:
— оснащение помещений входными дверьми с замками, обеспечение постоянного закрытия дверей помещений на замок и их открытие только для санкционированного прохода, а также опечатывания помещений по окончании рабочего дня или оборудование помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;
— утверждение правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
— утверждение перечня лиц, имеющих право доступа в помещения;
2) Обеспечение сохранности носителей персональных данных:
— хранение съемных машинных носителей ПДн в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;
— поэкземплярный учет машинных носителей ПДн в журнале учета носителей ПДн с использованием регистрационных (заводских) номеров;
3) Утверждение руководителем организации ПЛн перечня лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими должностных обязанностей;
4) Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Следовательно, для обеспечения 4 –го уровня защищенности ПДн в компании необходимо разработать и утвердить организационно-распорядительные документы:
— План мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн 4 уровня защищенности;
— Правила доступа в помещения, где размещены используемые средства криптографической защиты (далее — СКЗИ), хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
— Перечень лиц, имеющих право доступа в помещения, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ;
— Журнал учета носителей ПДн с использованием регистрационных (заводских) номеров;
— Перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей.
1) Организация режима обеспечения безопасности помещений, в которых размещена информационная система (ИСПДн), препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:
— оснащение помещений входными дверьми с замками, обеспечение постоянного закрытия дверей помещений на замок и их открытие только для санкционированного прохода, а также опечатывания помещений по окончании рабочего дня или оборудование помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;
— утверждение правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
— утверждение перечня лиц, имеющих право доступа в помещения;
2) Обеспечение сохранности носителей персональных данных:
— хранение съемных машинных носителей ПДн в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;
— поэкземплярный учет машинных носителей ПДн в журнале учета носителей ПДн с использованием регистрационных (заводских) номеров;
3) Утверждение руководителем организации ПЛн перечня лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими должностных обязанностей;
4) Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Следовательно, для обеспечения 4 –го уровня защищенности ПДн в компании необходимо разработать и утвердить организационно-распорядительные документы:
— План мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн 4 уровня защищенности;
— Правила доступа в помещения, где размещены используемые средства криптографической защиты (далее — СКЗИ), хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
— Перечень лиц, имеющих право доступа в помещения, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ;
— Журнал учета носителей ПДн с использованием регистрационных (заводских) номеров;
— Перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей.
