ПРИКАЗ ФСТЭК от 18.02.2013 г. № 21
Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных | Уровни защищенностиперсональных данных | |||
4 | 3 | 2 | 1 | ||
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |||||
ИАФ.1 | Идентификация и аутентификация пользователей,являющихся работниками оператора | + | + | + | + |
ИАФ.2 | Идентификация и аутентификация устройств, в томчисле стационарных, мобильных и портативных | + | + | ||
ИАФ.3 | Управление идентификаторами, в том числе создание,присвоение, уничтожение идентификаторов | + | + | + | + |
ИАФ.4 | Управление средствами аутентификации, в том числехранение, выдача, инициализация, блокированиесредств аутентификации и принятие мер в случаеутраты и (или) компрометации средств аутентификации | + | + | + | + |
ИАФ.5 | Защита обратной связи при вводе аутентификационнойинформации | + | + | + | + |
ИАФ.6 | Идентификация и аутентификация пользователей, неявляющихся работниками оператора (внешнихпользователей) | + | + | + | + |
II. Управление доступом субъектов доступа к объектам доступа (УПД) | |||||
УПД.1 | Управление (заведение, активация, блокирование иуничтожение) учетными записями пользователей, в томчисле внешних пользователей | + | + | + | + |
УПД.2 | Реализация необходимых методов (дискреционный,мандатный, ролевой или иной метод), типов (чтение,запись, выполнение или иной тип) и правилразграничения доступа | + | + | + | + |
УПД.3 | Управление (фильтрация, маршрутизация, контрольсоединений, однонаправленная передача и иные способыуправления) информационными потоками междуустройствами, сегментами информационной системы, атакже между информационными системами | + | + | + | + |
УПД.4 | Разделение полномочий (ролей) пользователей,администраторов и лиц, обеспечивающихфункционирование информационной системы | + | + | + | + |
УПД.5 | Назначение минимально необходимых прав ипривилегий пользователям, администраторам и лицам,обеспечивающим функционирование информационнойсистемы | + | + | + | + |
УПД.6 | Ограничение неуспешных попыток входа винформационную систему (доступа к информационнойсистеме) | + | + | + | + |
УПД.7 | Предупреждение пользователя при его входе винформационную систему о том, что в информационнойсистеме реализованы меры по обеспечению безопасностиперсональных данных, и о необходимости соблюденияустановленных оператором правил обработкиперсональных данных | ||||
УПД.8 | Оповещение пользователя после успешного входа винформационную систему о его предыдущем входе винформационную систему | ||||
УПД.9 | Ограничение числа параллельных сеансов доступа длякаждой учетной записи пользователя информационнойсистемы | ||||
УПД.10 | Блокирование сеанса доступа в информационнуюсистему после установленного времени бездействия(неактивности) пользователя или по его запросу | + | + | + | |
УПД.11 | Разрешение (запрет) действий пользователей,разрешенных до идентификации и аутентификации | + | + | + | |
УПД.12 | Поддержка и сохранение атрибутов безопасности(меток безопасности), связанных с информацией впроцессе ее хранения и обработки | ||||
УПД.13 | Реализация защищенного удаленного доступа субъектовдоступа к объектам доступа через внешниеинформационно-телекоммуникационные сети | + | + | + | + |
УПД.14 | Регламентация и контроль использования винформационной системе технологий беспроводногодоступа | + | + | + | + |
УПД.15 | Регламентация и контроль использования винформационной системе мобильных технических средств | + | + | + | + |
УПД.16 | Управление взаимодействием с информационнымисистемами сторонних организаций (внешниеинформационные системы) | + | + | + | + |
УПД.17 | Обеспечение доверенной загрузки средстввычислительной техники | + | + | ||
III. Ограничение программной среды (ОПС) | |||||
ОПС.1 | Управление запуском (обращениями) компонентовпрограммного обеспечения, в том числе определениезапускаемых компонентов, настройка параметровзапуска компонентов, контроль за запускомкомпонентов программного обеспечения | ||||
ОПС.2 | Управление установкой (инсталляцией) компонентовпрограммного обеспечения, в том числе определениекомпонентов, подлежащих установке, настройкапараметров установки компонентов, контроль заустановкой компонентов программного обеспечения | + | + | ||
ОПС.3 | Установка (инсталляция) только разрешенного киспользованию программного обеспечения и (или) егокомпонентов | + | |||
ОПС.4 | Управление временными файлами, в том числе запрет,разрешение, перенаправление записи, удалениевременных файлов | ||||
IV. Защита машинных носителей персональных данных (ЗНИ) | |||||
ЗНИ.1 | Учет машинных носителей персональных данных | + | + | ||
ЗНИ.2 | Управление доступом к машинным носителямперсональных данных | + | + | ||
ЗНИ.3 | Контроль перемещения машинных носителейперсональных данных за пределы контролируемой зоны | ||||
ЗНИ.4 | Исключение возможности несанкционированногоознакомления с содержанием персональных данных,хранящихся на машинных носителях, и (или)использования носителей персональных данных в иныхинформационных системах | ||||
ЗНИ.5 | Контроль использования интерфейсов ввода (вывода)информации на машинные носители персональных данных | ||||
ЗНИ.6 | Контроль ввода (вывода) информации на машинныеносители персональных данных | ||||
ЗНИ.7 | Контроль подключения машинных носителейперсональных данных | ||||
ЗНИ.8 | Уничтожение (стирание) или обезличиваниеперсональных данных на машинных носителях при ихпередаче между пользователями, в сторонниеорганизации для ремонта или утилизации, а такжеконтроль уничтожения (стирания) или обезличивания | + | + | + | |
V. Регистрация событий безопасности (РСБ) | |||||
РСБ.1 | Определение событий безопасности, подлежащихрегистрации, и сроков их хранения | + | + | + | + |
РСБ.2 | Определение состава и содержания информации особытиях безопасности, подлежащих регистрации | + | + | + | + |
РСБ.3 | Сбор, запись и хранение информации о событияхбезопасности в течение установленного временихранения | + | + | + | + |
РСБ.4 | Реагирование на сбои при регистрации событийбезопасности, в том числе аппаратные и программныеошибки, сбои в механизмах сбора информации идостижение предела или переполнения объема (емкости)памяти | ||||
РСБ.5 | Мониторинг (просмотр, анализ) результатоврегистрации событий безопасности и реагирование наних | + | + | ||
РСБ.6 | Генерирование временных меток и (или)синхронизация системного времени в информационнойсистеме | ||||
РСБ.7 | Защита информации о событиях безопасности | + | + | + | + |
VI. Антивирусная защита (АВЗ) | |||||
АВЗ.1 | Реализация антивирусной защиты | + | + | + | + |
АВЗ.2 | Обновление базы данных признаков вредоносныхкомпьютерных программ (вирусов) | + | + | + | + |
VII. Обнаружение вторжений (СОВ) | |||||
СОВ.1 | Обнаружение вторжений | + | + | ||
СОВ.2 | Обновление базы решающих правил | + | + | ||
VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | |||||
АНЗ.1 | Выявление, анализ уязвимостей информационнойсистемы и оперативное устранение вновь выявленныхуязвимостей | + | + | + | |
АНЗ.2 | Контроль установки обновлений программногообеспечения, включая обновление программногообеспечения средств защиты информации | + | + | + | + |
АНЗ.3 | Контроль работоспособности, параметров настройки иправильности функционирования программногообеспечения и средств защиты информации | + | + | + | |
АНЗ.4 | Контроль состава технических средств, программногообеспечения и средств защиты информации | + | + | + | |
АНЗ.5 | Контроль правил генерации и смены паролейпользователей, заведения и удаления учетных записейпользователей, реализации правил разграничениядоступа, полномочий пользователей в информационнойсистеме | + | + | ||
IX. Обеспечение целостности информационной системы и персональных данных (ОЦЛ) | |||||
ОЦЛ.1 | Контроль целостности программного обеспечения,включая программное обеспечение средств защитыинформации | + | + | ||
ОЦЛ.2 | Контроль целостности персональных данных,содержащихся в базах данных информационной системы | ||||
ОЦЛ.3 | Обеспечение возможности восстановленияпрограммного обеспечения, включая программноеобеспечение средств защиты информации, привозникновении нештатных ситуаций | ||||
ОЦЛ.4 | Обнаружение и реагирование на поступление винформационную систему незапрашиваемых электронныхсообщений (писем, документов) и иной информации, неотносящихся к функционированию информационнойсистемы (защита от спама) | + | + | ||
ОЦЛ.5 | Контроль содержания информации, передаваемой изинформационной системы (контейнерный, основанный насвойствах объекта доступа, и (или) контентный,основанный на поиске запрещенной к передачеинформации с использованием сигнатур, масок и иныхметодов), и исключение неправомерной передачиинформации из информационной системы | ||||
ОЦЛ.6 | Ограничение прав пользователей по вводу информациив информационную систему | ||||
ОЦЛ.7 | Контроль точности, полноты и правильности данных,вводимых в информационную систему | ||||
ОЦЛ.8 | Контроль ошибочных действий пользователей по вводуи (или) передаче персональных данных ипредупреждение пользователей об ошибочных действиях | ||||
X. Обеспечение доступности персональных данных (ОДТ) | |||||
ОДТ.1 | Использование отказоустойчивых технических средств | ||||
ОДТ.2 | Резервирование технических средств, программногообеспечения, каналов передачи информации, средствобеспечения функционирования информационной системы | ||||
ОДТ.3 | Контроль безотказного функционирования техническихсредств, обнаружение и локализация отказовфункционирования, принятие мер по восстановлениюотказавших средств и их тестирование | + | |||
ОДТ.4 | Периодическое резервное копирование персональныхданных на резервные машинные носители персональныхданных | + | + | ||
ОДТ.5 | Обеспечение возможности восстановленияперсональных данных с резервных машинных носителейперсональных данных (резервных копий) в течениеустановленного временного интервала | + | + | ||
XI. Защита среды виртуализации (ЗСВ) | |||||
ЗСВ.1 | Идентификация и аутентификация субъектов доступа иобъектов доступа в виртуальной инфраструктуре, в томчисле администраторов управления средствамивиртуализации | + | + | + | + |
ЗСВ.2 | Управление доступом субъектов доступа к объектамдоступа в виртуальной инфраструктуре, в том числевнутри виртуальных машин | + | + | + | + |
ЗСВ.3 | Регистрация событий безопасности в виртуальнойинфраструктуре | + | + | + | |
ЗСВ.4 | Управление (фильтрация, маршрутизация, контрольсоединения, однонаправленная передача) потокамиинформации между компонентами виртуальнойинфраструктуры, а также по периметру виртуальнойинфраструктуры | ||||
ЗСВ.5 | Доверенная загрузка серверов виртуализации,виртуальной машины (контейнера), серверов управлениявиртуализацией | ||||
ЗСВ.6 | Управление перемещением виртуальных машин(контейнеров) и обрабатываемых на них данных | + | + | ||
ЗСВ.7 | Контроль целостности виртуальной инфраструктуры иее конфигураций | + | + | ||
ЗСВ.8 | Резервное копирование данных, резервированиетехнических средств, программного обеспечениявиртуальной инфраструктуры, а также каналов связивнутри виртуальной инфраструктуры | + | + | ||
ЗСВ.9 | Реализация и управление антивирусной защитой ввиртуальной инфраструктуре | + | + | + | |
ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты(сегментирование виртуальной инфраструктуры) дляобработки персональных данных отдельнымпользователем и (или) группой пользователей | + | + | + | |
XII. Защита технических средств (ЗТС) | |||||
ЗТС.1 | Защита информации, обрабатываемой техническимисредствами, от ее утечки по техническим каналам | ||||
ЗТС.2 | Организация контролируемой зоны, в пределахкоторой постоянно размещаются стационарныетехнические средства, обрабатывающие информацию, исредства защиты информации, а также средстваобеспечения функционирования | ||||
ЗТС.3 | Контроль и управление физическим доступом ктехническим средствам, средствам защиты информации,средствам обеспечения функционирования, а также впомещения и сооружения, в которых они установлены,исключающие несанкционированный физический доступ ксредствам обработки информации, средствам защитыинформации и средствам обеспечения функционированияинформационной системы, в помещения и сооружения, вкоторых они установлены | + | + | + | + |
ЗТС.4 | Размещение устройств вывода (отображения)информации, исключающее ее несанкционированныйпросмотр | + | + | + | + |
ЗТС.5 | Защита от внешних воздействий (воздействийокружающей среды, нестабильности электроснабжения,кондиционирования и иных внешних факторов) | ||||
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) | |||||
ЗИС.1 | Разделение в информационной системе функций поуправлению (администрированию) информационнойсистемой, управлению (администрированию) системойзащиты персональных данных, функций по обработкеперсональных данных и иных функций информационнойсистемы | + | |||
ЗИС.2 | Предотвращение задержки или прерывания выполненияпроцессов с высоким приоритетом со стороны процессовс низким приоритетом | ||||
ЗИС.3 | Обеспечение защиты персональных данных отраскрытия, модификации и навязывания (ввода ложнойинформации) при ее передаче (подготовке к передаче)по каналам связи, имеющим выход за пределыконтролируемой зоны, в том числе беспроводнымканалам связи | + | + | + | + |
ЗИС.4 | Обеспечение доверенных канала, маршрута междуадминистратором, пользователем и средствами защитыинформации (функциями безопасности средств защитыинформации) | ||||
ЗИС.5 | Запрет несанкционированной удаленной активациивидеокамер, микрофонов и иных периферийныхустройств, которые могут активироваться удаленно, иоповещение пользователей об активации такихустройств | ||||
ЗИС.6 | Передача и контроль целостности атрибутовбезопасности (меток безопасности), связанных сперсональными данными, при обмене ими с инымиинформационными системами | ||||
ЗИС.7 | Контроль санкционированного и исключениенесанкционированного использования технологиймобильного кода, в том числе регистрация событий,связанных с использованием технологий мобильногокода, их анализ и реагирование на нарушения,связанные с использованием технологий мобильногокода | ||||
ЗИС.8 | Контроль санкционированного и исключениенесанкционированного использования технологийпередачи речи, в том числе регистрация событий,связанных с использованием технологий передачи речи,их анализ и реагирование на нарушения, связанные сиспользованием технологий передачи речи | ||||
ЗИС.9 | Контроль санкционированной и исключениенесанкционированной передачи видеоинформации, в томчисле регистрация событий, связанных с передачейвидеоинформации, их анализ и реагирование нанарушения, связанные с передачей видеоинформации | ||||
ЗИС.10 | Подтверждение происхождения источника информации,получаемой в процессе определения сетевых адресов посетевым именам или определения сетевых имен посетевым адресам | ||||
ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансоввзаимодействия), в том числе для защиты от подменысетевых устройств и сервисов | + | + | ||
ЗИС.12 | Исключение возможности отрицания пользователемфакта отправки персональных данных другомупользователю | ||||
ЗИС.13 | Исключение возможности отрицания пользователемфакта получения персональных данных от другогопользователя | ||||
ЗИС.14 | Использование устройств терминального доступа дляобработки персональных данных | ||||
ЗИС.15 | Защита архивных файлов, параметров настройкисредств защиты информации и программного обеспеченияи иных данных, не подлежащих изменению в процессеобработки персональных данных | + | + | ||
ЗИС.16 | Выявление, анализ и блокирование в информационнойсистеме скрытых каналов передачи информации в обходреализованных мер или внутри разрешенных сетевыхпротоколов | ||||
ЗИС.17 | Разбиение информационной системы на сегменты(сегментирование информационной системы) иобеспечение защиты периметров сегментовинформационной системы | + | + | ||
ЗИС.18 | Обеспечение загрузки и исполнения программногообеспечения с машинных носителей персональныхданных, доступных только для чтения, и контрольцелостности данного программного обеспечения | ||||
ЗИС.19 | Изоляция процессов (выполнение программ) ввыделенной области памяти | ||||
ЗИС.20 | Защита беспроводных соединений, применяемых винформационной системе | + | + | + | |
XIV. Выявление инцидентов и реагирование на них (ИНЦ) | |||||
ИНЦ.1 | Определение лиц, ответственных за выявлениеинцидентов и реагирование на них | + | + | ||
ИНЦ.2 | Обнаружение, идентификация и регистрацияинцидентов | + | + | ||
ИНЦ.3 | Своевременное информирование лиц, ответственных завыявление инцидентов и реагирование на них, овозникновении инцидентов в информационной системепользователями и администраторами | + | + | ||
ИНЦ.4 | Анализ инцидентов, в том числе определениеисточников и причин возникновения инцидентов, атакже оценка их последствий | + | + | ||
ИНЦ.5 | Принятие мер по устранению последствий инцидентов | + | + | ||
ИНЦ.6 | Планирование и принятие мер по предотвращениюповторного возникновения инцидентов | + | + | ||
XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) | |||||
УКФ.1 | Определение лиц, которым разрешены действия повнесению изменений в конфигурацию информационнойсистемы и системы защиты персональных данных | + | + | + | |
УКФ.2 | Управление изменениями конфигурации информационнойсистемы и системы защиты персональных данных | + | + | + | |
УКФ.3 | Анализ потенциального воздействия планируемыхизменений в конфигурации информационной системы исистемы защиты персональных данных на обеспечениезащиты персональных данных и согласование измененийв конфигурации информационной системы с должностнымлицом (работником), ответственным за обеспечениебезопасности персональных данных | + | + | + | |
УКФ.4 | Документирование информации (данных) об измененияхв конфигурации информационной системы и системызащиты персональных данных | + | + | + |
Время публикации: 26.03.2014 13:06
Последнее изменение: 26.03.2014 13:06