и для ІСПДн наступне:
Визначити категорію оброблюваних персональних даних;
Визначити обсяг персональних даних, які обробляються в інформаційній системі.
Категорія ПДН - 2-я (персональні дані дозволяють ідентифікувати суб'єкта персональних). Обсяг оброблюваних ПДН - більше 100 000 суб'єктів. На підставі цього можна зробити висновок, що ІСПДн ставитися до класу К2 і потребує додаткового захисту. Вимоги до 2 класу ІСПДн:
ідентифікація та перевірка справжності користувача при вході в систему інформаційної системи по паролю умовно-постійної дії довжиною не менше шести буквено-цифрових символів.
реєстрація входу (виходу) користувача в систему (з системи) або реєстрація завантаження і ініціалізації операційної системи та її програмного зупинка.
забезпечення цілісності програмних засобів системи захисту персональних даних, оброблюваної інформації, а також незмінність програмного середовища.
6. Формування вимог до захищеності АС
Підсистема управління доступом: повинні здійснюватися ідентифікація та перевірка справжності суб'єктів доступу при вході в систему за ідентифікатором (коду) і паролю умовно-постійної дії довжиною не менше шести буквено-цифрових символів. Підсистема реєстрації і обліку: повинна здійснюватися реєстрація входу (виходу) суб'єктів доступу в систему (з системи), або реєстрація завантаження і ініціалізації операційної системи та її програмного зупину. Реєстрація виходу з системи або зупину не проводиться в моменти апаратурного відключення АС.
У параметрах реєстрації зазначаються:
дата і час входу (виходу) суб'єкта доступу в систему (з системи) чи завантаження (зупину) системи;
результат спроби входу: успішна або неуспішна (при НСД);
повинен проводитися облік всіх захищаються носіїв інформації за допомогою їх маркування та із занесенням облікових даних в журнал (облікову картку). Підсистема забезпечення цілісності: повинна бути забезпечена цілісність програмних засобів СЗІ НСД, оброблюваної інформації, а також незмінність програмного середовища.
При цьому:
цілісність СЗІ НСД перевіряється при завантаженні системи по наявності імен (ідентифікаторів) компонент СЗІ;
цілісність програмного середовища забезпечується відсутністю в АС засобів розробки й налагодження програм під час обробки і (або) зберігання інформації, що захищається;
повинна здійснюватися фізична охорона СВТ (пристроїв і носіїв інформації), що передбачає контроль доступу в приміщення АС сторонніх осіб, наявність надійних перешкод для несанкціонованого проникнення в приміщення АС і сховище носіїв інформації, особливо в неробочий час;
повинно проводитися періодичне тестування функцій СЗІ НСД при зміні програмного середовища і персоналу АС за допомогою тест - програм, що імітують спроби НСД;
повинні бути в наявності засоби відновлення СЗІ НСД, що передбачають ведення двох копій програмних засобів СЗІ НСД та їх періодичне оновлення, і контроль працездатності.
7. Вибір механізмів і засобів захисту інформації від НСД
