|
Условное обозначение и номер меры
|
Содержание мер по обеспечению безопасности персональных данных
|
|
|
I. Идентификация и аутентификация субъектов доступа и объектов доступа
(ИАФ)
|
||
|
ИАФ.1
|
Идентификация и аутентификация пользователей, являющихся работниками
оператора
|
|
|
ИАФ.З
|
Управление идентификаторами, в том числе создание, присвоение,
уничтожение идентификаторов
|
|
|
ИАФ.4
|
Управление средствами аутентификации, в том числе хранение, выдача,
инициализация, блокирование средств аутентификации и принятие мер в случае
утраты и (или) компрометации средств аутентификации
|
|
|
ИАФ.5
|
Защита обратной связи при вводе аутентификационной информации
|
|
|
ИАФ.6
|
Идентификация и аутентификация пользователей, не являющихся работниками
оператора (внешних пользователей)
|
|
|
II. Управление доступом субъектов доступа к объектам доступа (УПД)
|
||
|
УПД.1
|
Управление (заведение, активация, блокирование и уничтожение) учетными
записями пользователей, в том числе внешних пользователей
|
|
|
УПД.2
|
Реализация необходимых методов (дискреционный, мандатный, ролевой или
иной метод), типов (чтение, запись, выполнение или иной тип) и правил
разграничения доступа
|
|
|
УПД.З
|
Управление (фильтрация, маршрутизация, контроль соединений,
однонаправленная передача и иные способы управления) информационными потоками
между устройствами, сегментами информационной системы, а также между
информационными системами
|
|
|
УПД.4
|
Разделение полномочий (ролей) пользователей, администраторов и лиц,
обеспечивающих функционирование информационной системы
|
|
|
УПД.5
|
Назначение минимально необходимых прав и привилегий пользователям,
администраторам и лицам, обеспечивающим функционирование информационной
системы
|
|
|
УПД.6
|
Ограничение неуспешных попыток входа в информационную систему (доступа к
информационной системе)
|
|
|
УПД.13
|
Реализация защищенного удаленного доступа субъектов доступа к объектам
доступа через внешние информационно-телекоммуникационные сети
|
|
|
УПД.14
|
Регламентация и контроль использования в информационной системе
технологий беспроводного доступа
|
|
|
УПД.15
|
Регламентация и контроль использования в информационной системе мобильных
технических средств
|
|
|
УПД.16
|
Управление взаимодействием с информационными системами сторонних
организаций (внешние информационные системы)
|
|
|
V. Регистрация событий безопасности (РСБ)
|
||
|
РСБ.1
|
Определение событий безопасности, подлежащих регистрации, и сроков их
хранения
|
|
|
РСБ.2
|
Определение состава и содержания информации о событиях безопасности,
подлежащих регистрации
|
|
|
РСБ.З
|
Сбор, запись и хранение информации о событиях безопасности в течение
установленного времени хранения
|
|
|
РСБ. 7
|
Защита информации о событиях безопасности
|
|
|
VI. Антивирусная защита (АВЗ)
|
||
|
АВ3.1
|
Реализация антивирусной защиты
|
|
|
АВ3.2
|
Обновление базы данных признаков вредоносных компьютерных программ
(вирусов)
|
|
|
VIII. Контроль (анализ) защищенности персональных данных (АНЗ)
|
||
|
АНЗ.2
|
Контроль установки обновлений программного обеспечения, включая
обновление программного обеспечения средств защиты информации
|
|
|
XI. Защита среды виртуализации (ЗСВ)
|
||
|
ЗСВ.1
|
Идентификация и аутентификация субъектов доступа и объектов доступа в
виртуальной инфраструктуре, в том числе администраторов управления средствами
виртуализации
|
|
|
ЗСВ.2
|
Управление доступом субъектов доступа к объектам доступа в виртуальной
инфраструктуре, в том числе внутри виртуальных машин
|
|
|
XII. Защита технических средств (ЗТС)
|
||
|
ЗТС.3
|
Контроль и управление физическим доступом к техническим средствам,
средствам защиты информации, средствам обеспечения функционирования, а также
в помещения и сооружения, в которых они установлены, исключающие
несанкционированный физический доступ к средствам обработки информации,
средствам защиты информации и средствам обеспечения функционирования
информационной системы, в помещения и сооружения, в которых они установлены
|
|
|
ЗТС.4
|
Размещение устройств вывода (отображения) информации, исключающее ее
несанкционированный просмотр
|
|
|
XIII. Защита информационной системы, ее средств, систем связи и передачи
данных (ЗИС)
|
||
|
ЗИС.3
|
Обеспечение защиты персональных данных от раскрытия, модификации и
навязывания (ввода ложной информации) при ее передаче (подготовке к передаче)
по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе
беспроводным каналам связи
|
|
пятница, 7 июня 2013 г.
Базовый набор мер для 4 уровня защищенности
Подписаться на:
Комментарии к сообщению (Atom)
Спасибо!
ОтветитьУдалить