- дата і час входу (виходу) суб'єкта доступу в систему (з системи) чи завантаження (зупину) системи;
- результат спроби входу: успішна або неуспішна - несанкціонована;
- ідентифікатор (код або прізвище) суб'єкта, пред'явлений при спробі доступу;
- повинен проводитися облік всіх захищаються носіїв інформації за допомогою їх маркування та із занесенням облікових даних журналу (облікову картку);
- облік захищаються носіїв повинен проводитися в журналі (картотеці) з реєстрацією їх видачі (прийому).
Підсистема забезпечення цілісності:
- повинна бути забезпечена цілісність програмних засобів СЗІ НСД, оброблюваної інформації, а також незмінність програмного середовища. При цьому:
1) цілісність СЗІ НСД перевіряється при завантаженні системи по контрольних сумах компонент СЗІ;
2) цілісність програмного середовища забезпечується використанням трансляторів з мов високого рівня і відсутністю коштів модифікації об'єктного коду програм в процесі обробки і (або) зберігання інформації, що захищається;
- повинна здійснюватися фізична охорона СВТ (пристроїв і носіїв інформації), що передбачає контроль доступу в приміщення АС сторонніх осіб, наявність надійних перешкод для несанкціонованого проникнення в приміщення АС і сховище носіїв інформації, особливо в неробочий час;
- повинно проводитися періодичне тестування функцій СЗІ НСД при зміні програмного середовища і персоналу АС за допомогою тест - програм, що імітують спроби НСД;
- повинні бути в наявності засоби відновлення СЗІ НСД, що передбачають ведення двох копій програмних засобів СЗІ НСД і їх періодичне оновлення і контроль працездатності. [6]
Визначення класу інформаційної системи персональних даних на підприємстві
Для того щоб віднести типову інформаційну систему персональних даних (ІСПД) до того чи іншого класу необхідно:
) визначити категорію оброблюваних персональних даних:
- категорія 4 - знеособлені і (або) загальнодоступні персональні дані;
- категорія 3 - персональні дані, що дозволяють ідентифікувати суб'єкта персональних даних;
- категорія 2 - персональні дані, що дозволяють ідентифікувати суб'єкта персональних даних і отримати про нього додаткову інформацію, за винятком персональних даних, що відносяться до категорії 1;
- категорія 1 - персональні дані, що стосуються расової, національної приналежності, політичних поглядів, релігійних і філософських переконань, стану здоров'я, інтимного життя.
) Визначити обсяг персональних даних, що обробляються в інформаційній системі:
- обсяг 3 - одночасно обробляються дані менш ніж тисячу суб'єктів персональних даних в межах конкретної організації;
- обсяг 2 - одночасно обробляються персональні дані від 1 000 до 100 000 суб'єктів персональних даних, що працюють в галузі економіки РФ, в органі державної влади, що проживають в межах муніципального освіти;
- обсяг 1 - одночасно обробляються персональні дані більш ніж 100 000 суб'єктів персональних даних у межах суб'єкта РФ або РФ.
) За результатами аналізу вихідних даних типовий ІСПДн привласнюється один з наступних класів (див. табл. 1.2):
Таблиця 1.2 - Класифікація АС ІСПД
Обсяг КатегоріяОб'ем 3 lt; 1 000Об'ем 2 1 000-100 000 Обсяг 1 gt; 100 000Категорія 4 Клас 4Класс 4Класс 4Категорія 3 Клас 3Класс 3Класс 2категория 2 Клас 3Класс 2класс 1Категорія 1 Клас 1класс 1класс 1
- клас 4 (К4) - інформаційні системи, для яких порушення заданої характеристики безпеки персональних даних, що обробляються в них, не призводить до негативних наслідків для суб'єктів персональних даних;
- клас 3 (К3) - інформаційні системи, для яких порушення заданої характеристики безпеки персональних даних, що обробляються в них, може призвести до незначних негативних наслідків для суб'єктів персональних даних;
- клас 2 (К2) - інформаційні системи, для яких порушення заданої характеристики безпеки персональних даних, що обробляються в них, може призвести до негативних наслідків для суб'єктів персональних даних;
- клас 1 (К1) - інформаційні системи, для яких порушення заданої характеристики безпеки персональних даних, що обробляються в них, може призвести до значних негативних наслідків для суб'єктів персональних даних. [7]
Категорія оброблюваних персональних даних співр...
