"Безопасность для всех"

Главная  Словари  Каталог   О проекте   Карта сайта   Контакты    Старая версия сайта

       
Поиск   
Главное меню

AdSense




23.2.15 16:06 |
Раздел: | Автор: admin | Рейтинг: 7.00 (2) Оценить | Хитов 1467

Республика Молдова
ПРАВИТЕЛЬСТВО
ПОСТАНОВЛЕНИЕ Nr. 1123
от  14.12.2010
Об утверждении Требований по обеспечению безопасности
 персональных данных при их обработке в информационных
 системах персональных данных
часть 1


Varianta în limba de stat

Опубликован : 24.12.2010 в Monitorul Oficial Nr. 254-256     статья № : 1282     На основании части (2) статьи 14 Закона № 17-XVI от 15 февраля 2007 года о защите персональных данных (Официальный монитор Республики Молдова, 2007 г., № 107-111, ст. 468), с последующими изменениями и дополнениями, Правительство ПОСТАНОВЛЯЕТ:
    1. Утвердить Требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (прилагаются)
    2. Держателям персональных данных принять соответствующие меры по внедрению Требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в течение 12 месяцев после вступления в силу настоящего Постановления.

    Премьер-министр                                     Владимир ФИЛАТ
    Контрассигнует:
    министр информационных
    технологий и связи                                  Александру Олейник

    № 1123. Кишинэу, 14 декабря 2010 г.


Утверждены
Постановлением Правительства
№ 1123 от 14 декабря 2010 г.
ТРЕБОВАНИЯ
по обеспечению безопасности персональных данных
 при их обработке в информационных системах
 персональных данных

I. ОБЩИЕ ПОЛОЖЕНИЯ
    1. Требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (в дальнейшем – Требования) имеют целью установление минимальных правил держателям персональных данных по внедрению организационных и технических мер, необходимых для обеспечения безопасности, конфиденциальности и целостности персональных данных при их обработке в рамках информационных системах персональных данных и/или регистрах в мануальной форме, в соответствии с положениями Закона № 17-XVI от 15 февраля 2007 года о защите персональных данных (Официальный монитор Республики Молдова, 2007 г., № 107-111, ст. 468) и Закона № 71-XVI от 22 марта 2007 года о регистрах (Официальный монитор Республики Молдова, 2007 г., № 70-73, ст. 314).
    2. Настоящие Требования создают необходимую базу для применения Конвенции о защите граждан в отношении автоматизированной обработки личных данных, заключенной в Страсбурге 28 января 1981 г., опубликованной в European Treaty Series, №108, ратифицированной Республикой Молдова Постановлением Парламента № 483-XIV от 2 июля 1999 г.
    3. В настоящих Требованиях используются следующие определения:
    аутентификация – проверка идентификатора, присвоенного субъекту доступа, подтверждение подлинности;
  контроль безопасности – действия, предпринятые держателями персональных данных или Национальным центром по защите персональных данных (в дальнейшем – Центр) для осуществления проверки и/или обеспечения надлежащего уровня безопасности персональных данных, обрабатываемых в информационных системах и/или регистрах в мануальной форме, в соответствии с настоящими Требованиями;
  временные файлы – набор данных или информаций на цифровом носителе, созданный на определенный промежуток времени до начала выполнения задач, для которых они предназначены;
    идентификация – присвоение идентификатора субъектам и объектам доступа и/или сравнение предоставленного идентификатора со списком присвоенных идентификаторов;
    целостность – достоверность, непротиворечивость и актуальность информации, содержащей персональные данные, защита ее от повреждения и несанкционированного изменения;
средства криптографической защиты информации, содержащей персональные данные – технические, программные и технически-прикладные средства, системы и комплексы систем, которые позволяют строить алгоритмы криптографического преобразования информации, содержащей персональные данные, предназначенные для обеспечения целостности и конфиденциальности информации в процессе обработки, хранения и передачи по коммуникационным каналам;
    уровень защиты – уровень безопасности, пропорциональный риску, которому подвергается обработка персональных данных, а также по отношению к правам и свободам граждан, установленный согласно Требованиям, разработанный и актуализированный в соответствии с уровнем технологического развития и стоимости внедрения этих мер (N-1 или N-2);
    политика безопасности персональных данных – документ, разработанный держателем персональных данных, который представляет точное описание мер безопасности и признаков защиты, выбранных для безопасности данных, учитывая потенциальные риски для обрабатываемых персональных данных и реальные риски, которым подвергаются эти данные;
    периметр безопасности – зона, которая представляет собой барьер доступа, обеспеченный средствами физического и технического контроля доступа;
   лицо, ответственное за политику безопасности персональных данных – лицо, отвечающее за соответствующее функционирование комплексной системы защиты информации, содержащей персональные данные, а также за разработку, внедрение и мониторинг соблюдения положений политики безопасности держателя персональных данных;
    защита информации от непреднамеренных действий – комплекс мер, направленных на предупреждение непреднамеренных действий, вызванных ошибками пользователя, дефектами применяемых технических средств, природными явлениями или другими причинами, которые не имеют прямой целью изменение информации, но которые приводят к искажению, уничтожению, копированию, блокированию доступа к информации, а также к ее потере, уничтожению или неисправности материального носителя информации, содержащей персональные данные;
    носитель персональных данных – магнитный, оптический, лазерный, бумажный или другой носитель информации, на котором создается, фиксируется, передается, принимается, хранится или иным образом используется документ, и который позволяет его воспроизведение;
    восстановление данных – процедуры по реконструкции персональных данных до состояния, в котором они находились до момента потери или уничтожения;
    информационные технологии (IT - англ.- informational technology) – общность процессов, методов и средств по обработке и передаче информации, содержащей персональные данные, и правила ее использования;
    пользователь – лицо, действующее под авторитетом держателя персональных данных с признанным правом доступа к информационным системам персональных данных;
    рабочая сессия – период, который длится с момента включения компьютера и приложения по использованию информационного ресурса или момента запуска информационного ресурса и до момента их остановки;
    информационная система персональных данных – совокупность взаимосвязанных ресурсов и информационных технологий, методов и персонала, предназначенных для хранения, обработки и предоставления информации, содержащей персональные данные;
    хранение – накопление персональных данных на любых носителях.

II. ОБЩИЕ ТРЕБОВАНИЯ
    4. Меры по защите персональных данных являются составной частью работ по созданию, развитию и эксплуатации информационной системы персональных данных и непрерывно выполняются всеми держателями персональных данных.
   5. Защита персональных данных в информационных системах персональных данных обеспечивается комплексом организационных и технических мер по предупреждению неправомерной обработки персональных данных.
    6. Меры по защите персональных данных, обрабатываемых в информационных системах персональных данных, применяются исходя из необходимости обеспечения конфиденциальности этих мер.
    7. Осуществление любых мер и работ с использованием информационных ресурсов держателя персональных данных запрещено в случаях, если не приняты и не выполнены соответствующие меры по защите персональных данных.
    8. Защите подлежат все информационные ресурсы держателей персональных данных, содержащие персональные данные, в том числе:
    1) магнитные, оптические, лазерные или другие носители электронной информации, информационные массивы и базы данных;
    2) информационные системы, сети, операционные системы, системы управления базами данных и другие приложения, системы телекоммуникаций, включая средства создания и копирования документов и другие технические средства обработки информации.
    9. Защита персональных данных в информационных системах персональных данных обеспечивается в целях:
    1) предотвращения утечки информации, содержащей персональные данные путем исключения несанкционированного доступа к ней;
    2) предотвращения уничтожения, изменения, копирования, несанкционированного блокирования персональных данных в телекоммуникационных сетях и информационных ресурсах;
    3) соблюдения нормативно-правовой базы по использованию информационных систем и программ для обработки персональных данных;
    4) обеспечения исчерпывающего, целостного и достоверного характера персональных данных в телекоммуникационных сетях и информационных ресурсах;
    5) сохранения возможностей по управлению процессом обработки и хранения персональных данных.
    10. Защита персональных данных, обрабатываемых в информационных системах, проводится методами:
    1) предотвращения неавторизированного подключения к телекоммуникационным сетям и перехвата с помощью технических средств персональных данных, передаваемых по этим сетям;     2) исключения несанкционированного доступа к обработанным персональным данным;
    3) предотвращения специальных технических и программных действий, которые обуславливают уничтожение, изменение персональных данных или сбой в работе технического и программного комплекса;
    4) предотвращения преднамеренных и/или непреднамеренных действий внутренних и/или внешних пользователей, а также других сотрудников держателя персональных данных, которые обуславливают уничтожение, изменение персональных данных или сбой в работе технического и программного комплекса.
    11. Предотвращение утечки информации, содержащей персональные данные, передаваемые через каналы связи, обеспечивается путем использования методов шифрования информации, включая организационные, технические и режимные меры.
    12. Предотвращение несанкционированного доступа к информации, которая содержит персональные данные и курсирует или хранится в технических средствах, обеспечивается методом использования специальных технических и программных средств, шифрованием этой информации, в том числе с помощью организационных и режимных мер.
    13. Предотвращение уничтожения, изменения персональных данных или сбоя программного обеспечения, предназначенного для обработки персональных данных, обеспечивается методом использования специальных технических и программных средств защиты, в том числе лицензионных программ, антивирусных программ, организации системы контроля программного обеспечения и периодического осуществления резервных копий.
    14. Порядок доступа к информации, содержащей персональные данные, обрабатываемой в информационных системах, устанавливается держателем персональных данных в соответствии с требованиями законодательства.
III. ПОЛИТИКА БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
    15. Каждый держатель персональных данных, исходя из специфики деятельности, разрабатывает и организует выполнение положений документа, определяющего политику безопасности персональных данных, в том числе процедуры и меры по реализации этой политики с применением практических решений с пропорциональным уровнем детализации и сложности касательно идентификации и аутентификации пользователей; реагирования на инциденты безопасности; защиты IT и связи; обеспечения целостности информации, содержащей персональные данные и IТ; управления доступом; аудита и обеспечения учета, принимая во внимание:
    1) категорию обрабатываемых персональных данных и операций по их обработке (в соответствии с приложениями № 1 и 2 настоящих Требований);
    2) величину держателя персональных данных в зависимости от числа сотрудников, числа административных подразделений, географического расположения подразделений или филиалов и т.д., включая число лиц, которые имеют доступ к персональным данным;
    3) формы ведения регистра, в котором обрабатываются персональные данные (мануальная, электронная или смешанная);
    4) сложность информационных систем персональных данных и программ приложений, задействованных в процесс обработки данных;
    5) риски, которым подвергается держатель персональных данных или лица, чьи персональные данные обрабатываются, уровень технологического развития в этой области и стоимость мер по их внедрению.
    16. Политика безопасности персональных данных пересматривается, как минимум, один раз в год, как результат изменений или переоценки ее компонентов, и утверждается на самом высоком уровне иерархии ответственных лиц держателя персональных данных.
    Чтобы политика безопасности персональных данных была известна всем, этот документ доводится до сведения пользователей и других работников держателя персональных данных, в пределах их функциональных компетенций и предоставленного уровня доступа.
    17. Держатель персональных данных назначает лицо, ответственное за разработку, реализацию и мониторинг соблюдения политики безопасности персональных данных, находящееся в непосредственном подчинении руководителя учреждения, которое не имеет другую ответственность, не совместимую с задачами функции по внедрению данной политики.
    18. Лицо, ответственное за реализацию политики безопасности персональных данных, обеспечивается достаточными ресурсами (временем, человеческими ресурсами, оборудованием и бюджетом) и имеет свободный доступ к информации, необходимой для выполнения своих обязанностей, в объеме, не превышающем пределы этой политики.
    19. Лицо, ответственное за реализацию политики безопасности персональных данных, обеспечивает четкое определение различных ответственностей в области безопасности обработки персональных данных (предупреждение, надзор, обнаружение и обработка), а также оперирование ими, без воздействия вследствие личных интересов или других обстоятельств.
    20. Держатели персональных данных принимают следующие меры:
  1) четко определяют обязанности и процессы менеджмента безопасности персональных данных с соответствующей интеграцией в организационную структуру и общее функционирование;
    2) осуществляют технические и организационные меры, необходимые для организации процесса менеджмента обеспечения безопасности персональных данных;
    3) разрабатывают процедуры по классификации информации, содержащей персональные данные таким образом, чтобы можно было подготовить номенклатуру и локализовать все обрабатываемые персональные данные, независимо от носителя этих данных;
    4) инструктируют лиц, вовлеченных в процесс обработки персональных данных, для обеспечения выполнения функциональных обязанностей и взятия на себя ответственности за безопасность персональных данных, включая их конфиденциальность.
    21. Документация, относящаяся к политике безопасности персональных данных, должна быть централизованной, полной, регулярно обновляемой и содержать, как минимум, следующие элементы:
    1) идентичность лица, ответственного за политику безопасности;
    2) меры безопасности;
    3) механизм осуществления мер безопасности;
    4) номенклатуру обрабатываемых персональных данных, их локализации и операций, проводимых над ними;
    5) поименный список пользователей, которым доступ к персональным данным авторизирован;
    6) конфигурацию информационной системы персональных данных и сети;
    7) подробное описание критериев, в соответствии с которыми будут доступны персональные данные которые содержатся в регистре в мануальной форме;
    8) техническую документацию о проверках безопасности;
    9) график проверок безопасности;
    10) меры по выявлению случаев доступа и/или несанкционированной обработки персональных данных;
    11) отчеты об инцидентах безопасности.

IV. БЕЗОПАСНОСТЬ ФИЗИЧЕСКОЙ СРЕДЫ И ИНФОРМАЦИОННЫХ
 ТЕХНОЛОГИЙ, ИСПОЛЬЗУЕМЫХ ПРИ ОБРАБОТКЕ
 ПЕРСОНАЛЬНЫХ ДАННЫХ

Часть 1
Авторизация физического доступа
    22. Для категории N-1
    Доступ в помещения/офисы/кабинеты или места, где расположены информационные системы персональных данных, ограничен и разрешен только лицам, имеющим необходимое разрешение, и только в рабочее время, согласно списку и соответствующим отличительным знакам (эмблемы, значки, идентификационные карты, микропроцессорные карты).
    Руководители держателей персональных данных разрабатывают и утверждают списки доступа, которые пересматриваются не реже одного раза в месяц, и отличительные знаки, разрешающие доступ.
    23. Дополнительно для категории N-2
    Доступ производится на основе идентификационных карточек, микропроцессорных карт или других подобных технологий.
Часть 2
Управление и мониторинг физического доступа
    24. Для категории N-1
    Осуществляются управление и контроль физического доступа во всех точках доступа к информационным системам персональных данных, а также обеспечено реагирование на нарушение режима доступа.
    До предоставления физического доступа к информационным системам персональных данных проверяются полномочия доступа.
    Регистры мониторинга хранятся не менее одного года, по истечении которого регистр ликвидируется, а данные и документы, содержащиеся в ликвидируемом регистре, передаются в архив.
    25. Дополнительно для категории N-2
    Помещения, в которых установлены информационные системы персональных данных, оснащаются системами контроля доступа и видеонаблюдения с целью отслеживания доступа лиц в эти зоны.
    В процессе мониторинга используются средства наблюдения и сигнализации в режиме реального времени во всех случаях санкционированного и/или несанкционированного доступа.
    Используются автоматизированные средства, обеспечивающие выявление случаев несанкционированного доступа и инициирование действий по блокированию доступа.
Часть 3
Безопасность помещений/офисов/кабинетов и средств обработки
персональных данных
    26. Для категории N-1
    Периметр безопасности устанавливается конкретно и четко.
    Периметр здания или помещения, в котором находятся средства обработки персональных данных, должен быть целостным с физической точки зрения.
    Наружные стены помещений должны быть устойчивыми, входы оборудованы замками, средствами контроля доступа, сигнализации и т.д.
    В случае расположения помещений на первом этаже и/или на последнем этаже здания, а также в случае наличия балконов, пожарных лестниц, на соответствующие окна помещения устанавливаются решетки.
    Компьютеры, серверы, другие терминалы доступа должны располагаться в местах с ограниченным для посторонних лиц доступом.
    Двери и окна запираются при отсутствии в помещениях сотрудников.
    Записные книжки и/или телефонные книги, в которых содержатся сведения о местоположении средств обработки персональных данных, не должны быть доступными для посторонних лиц.
    Расположение средств обработки персональных данных должно соответствовать необходимости обеспечения их безопасности от несанкционированного доступа, краж, пожаров, наводнений и других возможных рисков.
    Использование фото-, видео-, аудиотехники или других средств записи в периметре безопасности допускается только в случае наличия специального разрешения руководства держателя персональных данных.
    Носители информации и средства обработки персональных данных, вынесенные из помещений, находящихся в периметре безопасности, не должны оставляться без присмотра в общественных местах.
    27. Дополнительно для категории N-2
    Внедряются системы установления проникновения для наружных дверей и окон, расположенных в доступных местах.
    Резервное оборудование и носители информации, содержащие персональные данные, хранятся в местах, позволяющих избежать уничтожения или повреждения в результате стихийных бедствий в основных помещениях/офисах/кабинетах.
Часть 4
Контроль посетителей
    28. Для категории N-1
    Должен контролироваться физический доступ посетителей в помещения, где установлены информационные системы персональных данных.
    Доступ посетителей регистрируется в регистрах, которые хранятся не менее одного года, по истечении которого регистр ликвидируется, а данные и документы, содержащиеся в ликвидируемом регистре, передаются в архив.
    29. Дополнительно для категории N-2
    Посетители информационных систем персональных данных должны сопровождаться лицами, назначенными для этой цели, с осуществлением одновременно контроля их действий.
Часть 5
Электроэнергетическая безопасность
    30. Для категории N-1
    Обеспечивается безопасность электрооборудования, используемого для поддержания функциональности информационных систем персональных данных, электрических кабелей, включая их защиту от повреждений и несанкционированного подключения.
    В случае возникновения исключительных, чрезвычайных или форс-мажорных обстоятельств должна быть обеспечена возможность отключения от электричества информационных систем персональных данных, включая возможность отключения любого компонента IT.
    Должны быть предусмотрены независимые источники электроснабжения краткосрочного действия, которые используются для надлежащего завершения рабочей сессии системы (компонента) в случае отключения от основного источника электрического питания.
    31. Дополнительно для категории N-2
    Предусматриваются и обеспечиваются источники электрической энергии на долгий период времени, которые используются в случае отключения в течение длительного времени при необходимости продолжения выполнения информационными системами персональных данных установленных функциональных задач.
Часть 6
Безопасность кабельных сетей
    32. Для всех категории информационных систем
    Сетевые кабеля, посредством которых осуществляется обработка персональных данных, должны быть защищены от несанкционированного подключения или повреждения.
    Высоковольтные кабели должны быть отделены от кабелей связи для исключения помех.
    Держатели персональных данных осуществляют, не реже чем один раз в месяц, проверки по обнаружению случаев несанкционированного подключения к кабельным сетям.
Часть 7
Обеспечение пожарной безопасности информационных
систем персональных данных
    33. Для категории N-1
    Предусматриваются средства обеспечения пожарной безопасности в помещениях/офисах/кабинетах, где расположены информационные системы персональных данных и средства обработки персональных данных.
    34. Дополнительно для категории N-2
    Внедряются автоматические системы по обнаружению/сигнализации и тушению пожаров в помещениях/офисах/кабинетах, где расположены информационные системы персональных данных и средства обработки персональных данных.
Часть 8
Контроль установки и удаления компонентов IT
    35. Для всех категорий информационных систем персональных данных
    Осуществляется контроль и учет установки и удаления программных, технических и программно-аппаратных средств, используемых в информационных системах персональных данных.
    Информация, которая содержит персональные данные и находится на носителях информации, физически уничтожается или перезаписывается и уничтожается надежными методами, исключая использование стандартных функций операций удаления.
Часть 9
Общие мероприятия по управлению информационной безопасностью
    36. Для всех категорий информационных систем персональных данных
    В случае временного неиспользования бумажных и электронных (цифровых) носителей информации, содержащих персональные данные, они хранятся в запирающихся сейфах или шкафах.
    Персональные компьютеры, компьютерные терминалы и принтеры выключаются по окончании рабочих сессий.
    Обеспечивается безопасность пунктов приема/отправки корреспонденции, а также защита против неавторизованного доступа к факсимильным и копировальным устройствам.
    Необходимо осуществлять управление физическим доступом к средствам отображения информации, которая содержит персональные данные, препятствующее визуализации этой информации неавторизированными на это лицами.
    Средства обработки персональных данных, информация, которая содержит персональные данные или программное обеспечение, предназначенное для обработки персональных данных, выносятся из периметра безопасности только на основании соответствующего письменного разрешения руководства держателя персональных данных.
    Факт выноса средств обработки персональных данных из периметра безопасности/их вноса в периметр безопасности должен регистрироваться.

V. ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ
ПОЛЬЗОВАТЕЛЯ ИНФОРМАЦИОННОЙ
 СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Часть 1
Идентификация и аутентификация пользователя
    37. Для категории N-1
    Осуществляется идентификация и аутентификация пользователей информационных систем персональных данных и процессов, исполняемых от имени этих пользователей.
    Все пользователи (включая персонал технической поддержки, администраторов сети, системных программистов и администраторов базы данных) будут иметь уникальный идентификатор (пользовательский ID), который не должен содержать признаков уровня доступа пользователя.
    Для подтверждения заявленной идентичности пользователя используются пароли, специальные физические устройства доступа с памятью (token) или микропроцессорные карты, биометрические методы аутентификации, основанные на индивидуальности и уникальности характеристик лица.
    В случае, если трудовой договор/служебные отношения пользователя были прекращены, приостановлены или изменены, а новые должностные обязанности не требуют доступа к персональным данным или пользователь злоупотребил полученными кодами доступа с целью совершения деяния, наносящего вред, отсутствовал на протяжении продолжительного периода времени, коды идентификации и аутентификации отзываются или приостанавливаются держателем персональных данных.
    38. Дополнительно для категории N-2
    Используется многофакторная (комплексная) аутентификация, включающая пароли и специальные физические устройства доступа с памятью или микропроцессорные карты, или пароли и биометрические методы аутентификации.
Часть 2
Идентификация и аутентификация оборудования
    39. Для всех категорий информационных систем персональных данных
    Обеспечивается возможность идентификации и аутентификации оборудования, используемого в операциях по обработке персональных данных.
Часть 3
Администрирование идентификаторов пользователей
    40. Для всех категорий информационных систем персональных данных
    Администрирование идентификаторов пользователей включает:
    1) однозначную идентификацию каждого пользователя;
    2) проверку подлинности каждого пользователя;
    3) получение авторизации от ответственного лица за выдачу идентификатора пользователя;
    4) гарантирование того, что ID пользователя выдан конкретно определенному лицу;
    5) дезактивацию учетной записи пользователя после заданного временного интервала неактивности (бездействия в течение не более 2 месяцев);
    6) осуществление архивных копий идентификаторов пользователя.
Часть 4
Управление средствами аутентификации
    41. Для всех категорий информационных систем персональных данных
    Держатель персональных данных определяет административные процедуры, регламентирующие процесс распространения и изъятия средств аутентификации пользователей, а также действия в случае их утраты/компрометации или выхода из строя.
    После установления системы изменяются сведения аутентификации пользователей, используемые стандартно.
Часть 5
Обеспечение двусторонней связи при вводе
 аутентификационной информации пользователей

    42. Для всех категорий информационных систем персональных данных
    Обеспечивается двусторонняя связь держателя персональных данных с пользователем в момент прохождения им процедур аутентификации, которая не компрометирует механизм аутентификации.
Часть 6
Использование паролей в процессе обеспечения
 информационной безопасности

    43. Для всех категорий информационных систем персональных данных:
    Соблюдаются правила обеспечения безопасности при выборе и использовании паролей, включающие:
    1) сохранение конфиденциальности паролей;
    2) запрещение записи паролей на бумажных носителях, если только не обеспечено их безопасное хранение;
    3) изменение паролей каждый раз, когда имеются признаки возможной компрометации системы или пароля;
    4) выбор качественных паролей с минимальной длиной в 8 знаков, которые не связаны с персональной информацией о пользователе, не содержат последовательных идентичных символов и не состоят полностью из числовых или буквенных групп;
    5) изменение паролей через интервалы времени не более 3 месяцев;
    6) дезактивацию автоматизированного процесса регистрации (с использованием сохраненных паролей).
Часть 7
Управления паролями пользователей
    44. Для всех категорий информационных систем персональных данных
    Используются индивидуальные идентификаторы для каждого пользователя и их индивидуальные пароли для обеспечения возможности установления ответственности.
    Обеспечивается пользователям возможность выбирать и изменять собственные пароли, а также активировать процедуру для учета ошибок ввода.
    Обеспечивается осуществление блокирования доступа после 3 ошибочных попыток аутентификации.
    Обеспечивается хранение истории предыдущих пользовательских паролей в форме hash (за предыдущий год) и предотвращение их повторного использования.
    В момент ввода пароли не отображаются на экране.
    Пароли хранятся в зашифрованной форме с использованием одностороннего криптографического алгоритма (функция hash).

VI. УПРАВЛЕНИЕ ДОСТУПОМ ПОЛЬЗОВАТЕЛЕЙ
Часть 1
Управление доступом пользователей
    45. Для всех категорий информационных систем персональных данных
    Внедряются механизмы регистрации и учета лиц, имеющих доступ или участвующих в операциях по обработке персональных данных, которые, в случае необходимости, позволяют выявить случаи неавторизированного доступа или незаконной обработки персональных данных.
Часть 2
Управление учетными записями (account-ов)
    46. Для всех категорий информационных систем персональных данных
    Осуществляется управление учетными записями пользователей, которые обрабатывают персональные данные, включая создание, активацию, изменение, пересмотр, отключение и удаление учетных записей.
    Используются автоматизированные средства поддержки в целях управления учетными записями.
    Действие учетных записей временных пользователей, которые обрабатывают персональные данные, автоматически прекращается по окончанию установленного периода времени (для каждого типа учетной записи в отдельности).
    Осуществляется автоматическое отключение учетных записей неактивных пользователей, которые обрабатывают персональные данные, после периода бездействия не более 3 месяцев.
    Используются автоматизированные средства регистрации и оповещения о создании, изменении, отключении, прекращении действия учетных записей.
Часть 3
Предоставление доступа
    47. Для всех категорий информационных систем персональных данных
    Доступ к информационным системам персональных данных авторизируется в соответствии с политикой управления доступом, установленной держателем персональных данных.
    Доступ к функциям безопасности информационных систем персональных данных и к их данным предоставляется только ответственным лицам, непосредственно указанным в политике безопасности держателя персональных данных.
Часть 4
Пересмотр прав доступа пользователей
    48. Для всех категорий информационных систем персональных данных
    Права доступа пользователей информационных систем персональных данных пересматриваются регулярно для обеспечения уверенности в том, что не были предоставлены неавторизованные права доступа (не более чем через каждые 6 месяцев) и после любых изменений статуса пользователя.
Часть 5
Управление информационными потоками
    49. Для всех категорий информационных систем персональных данных
    Осуществление информационных потоков в процессе их передачи внутри и за пределами информационных систем персональных данных авторизируется держателями персональных данных
Часть 6
Разделение обязанностей и предоставление минимальных прав и полномочий
    50. Для всех категорий информационных систем персональных данных
    Разделение обязанностей субъектов, которые обеспечивают функционирование информационных систем персональных данных, осуществляется посредством предоставления соответствующих прав/полномочий доступа, указанных в административном акте руководства держателя персональных данных.
    Пользователям информационных систем персональных данных предоставляются только те права/полномочия, которые им необходимы для выполнения определенных для них задач.
Часть 7
Предупредительная информация
    51. Для всех категорий информационных систем персональных данных
    Перед предоставлением доступа в систему пользователи информируются о том, что использование информационных систем персональных данных контролируется и что их неавторизированное использование преследуется в соответствии с действующим законодательством.
Часть 8
Блокирование сеанса работы
    52. Для всех категорий информационных систем персональных данных
    Рабочая сессия в информационной системе, предназначенная для обработки персональных данных, блокируется (по запросу пользователя или автоматически не более чем через 15 минут неактивности пользователя), что делает невозможным дальнейший доступ до того момента, пока пользователь не разблокирует сеанс путем повторного прохождения процедур идентификации и аутентификации.
Часть 9
Контроль над управлением доступом
    53. Для всех категорий информационных систем персональных данных
    Осуществляется контроль над действиями пользователей для оценки правильности и соответствия операций и деятельности, осуществляемой в информационных системах персональных данных.
Часть 10
Маркировка документов
    54. Для всех категорий информационных систем персональных данных
    Исходящая из системы информация, содержащая персональные данные, маркируется с указанием предписаний по дальнейшей обработке или распространению, в том числе с указанием единого идентификационного номера держателя персональных данных.
Часть 11
Доступ на расстоянии
    55. Для всех категорий информационных систем персональных данных:
    Все методы доступа на расстоянии к информационным системам персональных данных должны защищаться (с использованием VPN, криптирования, шифрования и др.), а также документироваться, подвергаться мониторингу и контролю.
    Каждый используемый способ доступа на расстоянии к информационным системам персональных данных авторизируется ответственными лицами держателя персональных данных и разрешается только тем пользователям, которым это необходимо для выполнения установленных задач.
Часть 12
Ограничение использования беспроводных подключений
    56. Для всех категорий информационных систем персональных данных
    Устанавливаются ограничения и разрабатываются правила по использованию беспроводных технологий, позволяющих получать доступ к информационным системам персональных данных.
    Беспроводный доступ к информационным системам персональных данных документируется, подвергается мониторингу и контролю.
    Беспроводный доступ к информационным системам персональных данных разрешен только при применении средств криптографической защиты информации.
    Использование беспроводных технологий авторизируется ответственными лицами держателя персональных данных.
Часть 13
Управление доступом для портативных и мобильных устройств
    57. Для всех категорий информационных систем персональных данных
    Устанавливаются ограничения и разрабатываются руководства по использованию портативных и мобильных устройств, которые позволяют получать доступ к информационным системам персональных данных.
    Доступ к информационным системам персональных данных с использованием портативных и мобильных устройств документируется, подвергается мониторингу и контролю.
    Использование портативных и мобильных устройств авторизируется ответственными лицами держателя персональных данных.
 

  1 2 3 4 5 6 7 8 9 10  

Родственные ссылки
» Другие статьи раздела
» Эта статья от пользователя admin

5 cамых читаемых статей из раздела :
»
»
»
»
»

5 последних статей раздела :
»
»
»
»
»

¤ Перевести статью в страницу для печати
¤ Послать эту cтатью другу


MyArticles 0.6 Alpha 9 for RUNCMS: by RunCms.ru


PR-CY.ru Rambler's Top100
Яндекс.Метрика

RunCms Copyright © 2002 - 2024
- Free Opensource CMS System - 
- Click here to visit our mainsite! -
Design By Farsus
Hosted by ARAX COMMINICATIONS
Право, Нотариат
Пейнтбол в Молдове
- Генерация страницы: 0.155131 секунд -