Оператором персональных данных должно обеспечиваться резервирование технических средств, программного обеспечения, каналов передачи персональных данных, средств обеспечения функционирования информационной системы персональных данных (ИСПДн), предусматривающее:
- определение сегментов ИСПДн, в которых должно осуществляться резервирование технических средств, программного обеспечения, каналов передачи персональных данных и средств обеспечения функционирования, а также перечня резервируемых средств исходя из требуемых условий обеспечения непрерывности функционирования ИСПДн и доступности персональных данных, установленных оператором персональных данных;
- применение резервных (дублирующих) технических средств, программного обеспечения, каналов передачи персональных данных и (или) средств обеспечения функционирования ИСПДН, обеспечивающих требуемые условия непрерывности функционирования ИСПДн и доступности персональных данных;
- ввод в действие резервного технического средства, программного обеспечения, канала передачи персональных данных или средства обеспечения функционирования при нарушении требуемых условий непрерывности функционирования ИСПДн и доступности персональных данных.
Резервирование технических средств в зависимости от требуемых условий обеспечения непрерывности функционирования ИСПДн и доступности персональных данных включает ненагруженное («холодное») и (или) нагруженное («горячее») резервирование.
При резервировании программного обеспечения осуществляется создание резервных копий общесистемного, специального и прикладного программного обеспечения, а также программного обеспечения средств защиты информации, необходимых для обеспечения требуемых условий непрерывности функционирования ИСПДн и доступности персональных данных.
Резервирование каналов передачи персональных данных включает:
- резервирование каналов связи, обеспечивающее снижение вероятности отказа в доступе к ИСПДн;
- наличие у основных и альтернативных поставщиков телекоммуникационных услуг (провайдеров) ИСПДН планов по восстановлению связи при авариях и сбоях, с указанием времени восстановления.
Резервирование средств обеспечения функционирования ИСПДн включает:
- использование кратковременных резервных источников питания для обеспечения правильного (корректного) завершения работы сегмента ИСПДН (технического средства, устройства) в случае отключения основного источника питания;
- использование долговременных резервных источников питания в случае длительного отключения основного источника питания и необходимости продолжения выполнения сегментом ИСПДн (техническим средством, устройством) установленных функциональных (задач);
- определение перечня энергозависимых технических средств, которым необходимо обеспечить наличие резервных источников питания (кратковременных и долговременных).
Правила и процедуры резервирования регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
Требования к усилению ОДТ.2:
1) в ИСПДн должно обеспечиваться резервирование автоматизированных рабочих мест, на которых обрабатываются персональные данные (совокупности технических средств, установленного программного обеспечения, средств защиты информации и параметров настройки), в том числе предусматривающее:
- пространственное (географическое) отделение резервных автоматизированных рабочих мест от основных мест обработки персональных данных, с учетом возможных угроз нарушения доступности персональных данных;
- конфигурацию резервных мест обработки персональных данных, предусматривающую минимально требуемые эксплуатационные возможности рабочего места;
- разработку оператором персональных данных процедур обеспечения требуемых условий обеспечения непрерывности функционирования ИСПДн и доступности персональных данных в случае нарушения функционирования (сбоев, аварий) резервных мест обработки персональных данных;
- ограничение времени обработки персональных данных на резервном рабочем месте до времени восстановления функционирования основного рабочего места;
2) в ИСПДн должно обеспечиваться предоставление резервных каналов связи от альтернативных поставщиков телекоммуникационных услуг (провайдеров), отличных от поставщиков (провайдеров) основных каналов связи;
3) в ИСПДн должно обеспечиваться использование резервных каналов связи, проходящих по трассам отличным, от трасс прохождения основных каналов связи;
4) в ИСПДн должно обеспечиваться использование резервных (отделенных от основных) телекоммуникационных сервисов, обеспечивающих доступность персональных данных, до восстановления доступности основных телекоммуникационных сервисов поставщиком телекоммуникационных услуг (провайдером).
Содержание базовой меры ОДТ.2:
Мера защиты персональных данных | Уровень защищенности персональных данных | |||
4 | 3 | 2 | 1 | |
ОДТ.2 | ||||
Усиление ОДТ.2 |