биометрических персональных данных применяются все требования по обеспечению безопасности, определенные в разделе 6.3, а также требования, установленные Постановлением Правительства от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" [2].
6.5. Требования по обеспечению безопасности персональных данных, обрабатываемых в информационных системах обработки специальных категорий персональных данных
6.5.1. Для информационных систем обработки специальных категорий персональных данных применяются все требования по обеспечению безопасности, определенные в разделе 6.3, а также следующие требования.
6.5.2. Идентификация информационных ресурсов (например, информационных массивов, баз данных, файлов, обрабатывающих их программ), содержащих персональные данные, должна осуществляться по логическим именам.
6.5.3. Контроль доступа субъектов к защищаемым информационным ресурсам в соответствии с правами доступа указанных субъектов является обязательным.
6.5.4. Регистрация печати материалов, содержащих персональные данные, является обязательной. В журнале регистрации событий, который ведется в электронном виде ИСПДн, указываются следующие параметры:
- дата и время печати;
- спецификация устройства печати (логическое имя (номер) внешнего устройства);
- полное наименование (вид, шифр, код) материала;
- идентификатор субъекта доступа, запросившего печать материала;
- объем фактически отпечатанного материала (количество страниц, листов, копий) и результат печати: успешная (весь объем) или неуспешная.
6.5.5. Регистрация запуска программ и процессов, осуществляющих доступ к защищаемым информационным ресурсам, является обязательной. В журнале регистрации событий, который ведется в электронном виде ИСПДн, указываются следующие параметры:
- дата и время запуска;
- имя (идентификатор) программы (процесса, задания);
- идентификатор субъекта доступа, запросившего программу (процесс, задание);
- результат попытки запуска: успешная или неуспешная (несанкционированная);
- дата и время попытки доступа к защищаемому информационному ресурсу;
- имя (идентификатор) защищаемого информационного ресурса;
- вид запрашиваемой операции (например, чтение, запись, модификация, удаление);
- результат попытки доступа: успешная или неуспешная (несанкционированная).
6.5.6. Регистрация изменений полномочий субъектов доступа и статуса объектов доступа (защищаемых информационных ресурсов) является обязательной. В журнале регистрации событий, который ведется в электронном виде ИСПДн, указываются следующие параметры:
- дата и время изменения;
- содержание изменения с указанием идентификатора субъекта доступа, чьи полномочия подверглись изменению, или логического имени защищаемого информационного ресурса, чей статус изменился;
- идентификатор администратора информационной безопасности, осуществившего изменение.
6.5.7. В ИСПДн не должно быть субъекта доступа, имеющего полномочия, а при возможности и технические средства по уничтожению и модификации информации, содержащейся в журналах регистрации событий, указанных в пунктах 6.5.4 - 6.5.6.
Очистка журналов регистрации событий регламентируется разработчиком ИСПДн в эксплуатационной документации на ИСПДн. Перед очисткой журналов регистрации событий должно производиться архивирование содержащейся в них информации путем перемещения информации в соответствующий архив.
Операция по архивированию журнала регистрации событий должна, в свою очередь, регистрироваться с указанием времени и идентификатора работника, выполнившего операцию, в качестве первой записи в действующем журнале регистрации событий.
Архивы журналов
> 1 2 3 ... 6 7 8 ... 18 19 20
Zaki.ru законы и право
поиск по сайту
каталог документов
добавить сайт Zaki.ru в избранное
Правовые акты международные
Правовые акты Российской Федерации
