4 уровень защищенности персональных данных (УЗ4) является самым минимальным уровнем из 4 (четырех) уровней установленных Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 №1119.
Под 4 уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн).
Под 4 уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн).
Условия для определения 4-го уровня защищенности персональных данных
Необходимость обеспечения 4-го уровня защищенности персональных данных
при их обработке в ИСПДн устанавливается при наличии
хотя бы одного из следующих условий:
- для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает общедоступные персональные данные;
- для ИСПДн актуальны угрозы 3-го типа и ИСПДн обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Требования Правительства РФ для обеспечения 4-го уровня защищенности персональных данных
Для обеспечения 4-го уровня защищенности персональных данных при их
обработке в ИСПДн необходимо выполнение следующих требований:
- организация режима обеспечения безопасности помещений (ЗТС.2, ЗТС.3), в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:
- оснащения помещений входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода, а также опечатывания помещений по окончании рабочего дня или оборудование помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;
- утверждения правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
- утверждения перечня лиц, имеющих право доступа в помещения;
- обеспечение сохранности носителей персональных данных:
- хранения съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;
- поэкземплярного учета машинных носителей персональных данных, который достигается ведением журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров (ЗНИ.1);
- утверждение руководителем оператора персональных данных документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз:
- определить средства защиты информации для 4 уровня защищенности персональных данных.
Требования ФСТЭК России для обеспечения 4-го уровня защищенности персональных данных
Меры по обеспечению 3-го уровня защищенности персональных данных
реализуются в рамках системы защиты персональных данных, создаваемой в
соответствии с Требованиями к защите персональных данных при их
обработке в информационных системах персональных данных, утвержденными
постановлением Правительства РФ от 01.11.2012 №1119, и должны быть
направлены на нейтрализацию актуальных угроз безопасности персональных
данных.
В состав мер по обеспечению 3-го уровня защищенности персональных
данных, реализуемых в рамках системы защиты персональных данных с учетом
актуальных угроз безопасности персональных данных и применяемых
информационных технологий, входят:
- идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ);
- управление доступом субъектов доступа к объектам доступа (УПД);
- регистрация событий безопасности (РСБ);
- антивирусная защита (АВЗ);
- контроль (анализ) защищенности персональных данных (АРЗ);
- защита среды виртуализации (ЗСВ);
- защита технических средств (ЗТС);
- защита ИСПДн, ее средств, систем связи и передачи данных (ЗИС).
Состав и содержание мер по обеспечению безопасности персональных данных,
необходимых для обеспечения 3 уровня защищенности персональных данных в
ИСПДн возможно рассчитать в Базовом наборе мер ИСПДн.
Контроль за выполнением требований Правительства РФ к 4 уровню защищенности персональных данных
Контроль за выполнением требований для обеспечения 4-го уровня
защищенности персональных данных организуется и проводится оператором
персональных данных (уполномоченным лицом) самостоятельно и (или) с
привлечением на договорной основе юридических лиц и индивидуальных
предпринимателей, имеющих лицензию ФСТЭК России на осуществление
деятельности по технической защите конфиденциальной информации.
Указанный контроль проводится не реже 1 раза в 3 года в сроки,
определяемые оператором персональных данных (уполномоченным лицом).
Оценка эффективности системы защиты персональных данных
Оценка эффективности реализованных в рамках системы защиты персональных
данных мер по обеспечению безопасности персональных данных проводится
оператором персональных данных самостоятельно или с привлечением на
договорной основе юридических лиц и индивидуальных предпринимателей,
имеющих лицензию ФСТЭК России на осуществление деятельности по
технической защите конфиденциальной информации. Указанная оценка
проводится не реже 1 раза в 3 года.