3 уровень защищенности персональных данных

3 уровень защищенности персональных данных (УЗ3) является одним из 4 (четырех) уровней установленных Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 №1119.

Под 3 уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн).

3 уровень защищенности ИСПДн

 

 Условия для определения 3-го уровня защищенности персональных данных

Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в ИСПДн устанавливается при наличии хотя бы одного из следующих условий:
  • для ИСПДн актуальны угрозы 2-го типа и ИСПДн обрабатывает общедоступные персональные данные сотрудников оператора персональных данных или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора персональных данных;
  • для ИСПДн актуальны угрозы 2-го типа и ИСПДн обрабатывает иные категории персональных данных сотрудников оператора персональных данных или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора персональных данных;
  • для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает специальные категории персональных данных сотрудников оператора персональных данных или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора персональных данных;
  • для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает биометрические персональные данные;
  • для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора персональных данных.

Таблица 1. Условия для обеспечения 3-го уровня защищенности персональных данных

Категории персональных данных Категория субъектов Количество субъектов Тип актуальных угроз
2 тип 3 тип
Специальные не сотрудников оператора менее 100000 УЗ3
сотрудников оператора любое УЗ3
Биометрические
не сотрудников оператора любое УЗ3
сотрудников оператора
Иные не сотрудников оператора более 100000 УЗ3
менее 100000 УЗ3
сотрудников оператора любое УЗ3
Общедоступные не сотрудников оператора менее 100000 УЗ3
сотрудников оператора любое УЗ3


Требования Правительства РФ для обеспечения 3-го уровня защищенности персональных данных

Для обеспечения 3-го уровня защищенности персональных данных при их обработке в ИСПДн необходимо выполнение следующих требований:
  1. организация режима обеспечения безопасности помещений (ЗТС.2, ЗТС.3), в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:
    • оснащения помещений входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода, а также опечатывания помещений по окончании рабочего дня или оборудование помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;
    • утверждения правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
    • утверждения перечня лиц, имеющих право доступа в помещения;
  2. обеспечение сохранности носителей персональных данных (ЗНИ.1):
    • хранения съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;
    • поэкземплярного учета машинных носителей персональных данных, который достигается ведением журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров;
  3. утверждение руководителем оператора персональных данных документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;
  4. использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз:
  5. назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в ИСПДн.

Требования ФСТЭК России для обеспечения 3-го уровня защищенности персональных данных

Меры по обеспечению 3-го уровня защищенности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 №1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.

В состав мер по обеспечению 3-го уровня защищенности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
  1. идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ);
  2. управление доступом субъектов доступа к объектам доступа (УПД);
  3. защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (ЗНИ);
  4. регистрация событий безопасности (РСБ);
  5. антивирусная защита (АВЗ);
  6. контроль (анализ) защищенности персональных данных (АРЗ);
  7. защита среды виртуализации (ЗСВ);
  8. защита технических средств (ЗТС);
  9. защита ИСПДн, ее средств, систем связи и передачи данных (ЗИС);
  10. управление конфигурацией ИСПДн и системы защиты персональных данных (УКФ).

Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения 3 уровня защищенности персональных данных в ИСПДн возможно рассчитать в Базовом наборе мер ИСПДн.

Контроль за выполнением требований Правительства РФ к 3 уровню защищенности персональных данных

Контроль за выполнением требований для обеспечения 3-го уровня защищенности персональных данных организуется и проводится оператором персональных данных (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором персональных данных (уполномоченным лицом).

Оценка эффективности системы защиты персональных данных

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором персональных данных самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже 1 раза в 3 года.