3 уровень защищенности персональных данных (УЗ3) является одним из 4 (четырех) уровней установленных Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 №1119.
Под 3 уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн).
Условия для определения 3-го уровня защищенности персональных данных
Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в ИСПДн устанавливается при наличии хотя бы одного из следующих условий:
- для ИСПДн актуальны угрозы 2-го типа и ИСПДн обрабатывает общедоступные персональные данные сотрудников оператора персональных данных или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора персональных данных;
- для ИСПДн актуальны угрозы 2-го типа и ИСПДн обрабатывает иные категории персональных данных сотрудников оператора персональных данных или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора персональных данных;
- для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает специальные категории персональных данных сотрудников оператора персональных данных или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора персональных данных;
- для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает биометрические персональные данные;
- для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора персональных данных.
Таблица 1. Условия для обеспечения 3-го уровня защищенности персональных данных
Категории персональных данных | Категория субъектов | Количество субъектов | Тип актуальных угроз | |
2 тип | 3 тип | |||
Специальные | не сотрудников оператора | менее 100000 | УЗ3 | |
сотрудников оператора | любое | УЗ3 | ||
Биометрические
|
не сотрудников оператора | любое | УЗ3 | |
сотрудников оператора | ||||
Иные | не сотрудников оператора | более 100000 | УЗ3 | |
менее 100000 | УЗ3 | |||
сотрудников оператора | любое | УЗ3 | ||
Общедоступные | не сотрудников оператора | менее 100000 | УЗ3 | |
сотрудников оператора | любое | УЗ3 |
Требования Правительства РФ для обеспечения 3-го уровня защищенности персональных данных
Для обеспечения 3-го уровня защищенности персональных данных при их обработке в ИСПДн необходимо выполнение следующих требований:
- организация режима обеспечения безопасности помещений (ЗТС.2, ЗТС.3), в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:
- оснащения помещений входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода, а также опечатывания помещений по окончании рабочего дня или оборудование помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;
- утверждения правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
- утверждения перечня лиц, имеющих право доступа в помещения;
- обеспечение сохранности носителей персональных данных (ЗНИ.1):
- хранения съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;
- поэкземплярного учета машинных носителей персональных данных, который достигается ведением журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров;
- утверждение руководителем оператора персональных данных документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз:
- определить средства защиты информации для 3 уровня защищенности персональных данных.
- назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в ИСПДн.
Требования ФСТЭК России для обеспечения 3-го уровня защищенности персональных данных
Меры по обеспечению 3-го уровня защищенности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 №1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.
В состав мер по обеспечению 3-го уровня защищенности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
- идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ);
- управление доступом субъектов доступа к объектам доступа (УПД);
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (ЗНИ);
- регистрация событий безопасности (РСБ);
- антивирусная защита (АВЗ);
- контроль (анализ) защищенности персональных данных (АРЗ);
- защита среды виртуализации (ЗСВ);
- защита технических средств (ЗТС);
- защита ИСПДн, ее средств, систем связи и передачи данных (ЗИС);
- управление конфигурацией ИСПДн и системы защиты персональных данных (УКФ).
Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения 3 уровня защищенности персональных данных в ИСПДн возможно рассчитать в Базовом наборе мер ИСПДн.
Контроль за выполнением требований Правительства РФ к 3 уровню защищенности персональных данных
Контроль за выполнением требований для обеспечения 3-го уровня защищенности персональных данных организуется и проводится оператором персональных данных (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором персональных данных (уполномоченным лицом).
Оценка эффективности системы защиты персональных данных
Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором персональных данных самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже 1 раза в 3 года.