требования к информационной системе

Требования, предъявляемые к системам обработки ПДн
1. Наличие средства физической защиты (сейф, запираемый на ключ шкаф и пр.).
2. Наличие замков на двери помещения, в котором установлен компьютер. Желательно наличие металлической двери, решеток на окнах (первый и последний этажи).
3. В помещении должны находиться только те лица, которые перечислены в Приказе о перечне лиц,
допущенных в помещение. Обслуживающий персонал должен находиться в помещении только в присутствии администратора безопасности информации.
4. Компьютер должен быть расположен в пределах контролируемой зоны.
Контролируемая зона – помещения организации, присутствие в которых посторонних лиц без сотрудников организации (допущенных лиц) исключён. Например, кабинет директора, бухгалтерия и т.п. Перечень допущенных лиц должен быть составлен в Приказе о перечне лиц, допущенных в помещение.
5. Требуется наличие антивирусного средства, сертифицированного ФСТЭК. Рекомендуется Dr. Web,
приобретенный непосредственно у производителя или его партнеров (список партнеров на официальном
сайте drweb.ru). При покупке необходимо убедиться в наличии в комплекте поставки голографической
наклейки ФСТЭК в формуляре. После получения дистрибутива необходимо сделать резервную копию на
любом носителе.
6. Персональные данные должны обрабатываться на одном компьютере с установленной операционной системой семейства Windows. Не допустима установка более одной операционной системы.
7. Компьютер не должен быть подключен к сетям любого рода, в т.ч. Интернет.
8. Состав ПЭВМ должен иметь следующий вид:
8.1. системный блок
8.2. монитор
8.3. клавиатура
8.4. мышь
8.5. USB-накопитель (флешка)
8.6. принтер
9. Корпус компьютера должен быть опечатан администратором безопасности информации путем
наклеивания на стык крышки и корпуса небольшого листа бумаги с печатью организации и подписью опечатывающего лица. Можно указать также дату опечатывания.
10. Доступ к персональным данным должен быть только у сотрудников организации, причем не у всех,
а только тех, которым доступ необходим для выполнения служебных обязанностей. Они перечислены в
Приказе о перечне лиц, допущенных к обработке персональных данных.
11. Не допускается установка на компьютер средств разработки и модификации программного кода
(Visual Studio и т.п.).
12. Если осуществляется обслуживание 1С или других программ сторонними организациями, с ними
должно быть заключено соглашение о конфиденциальности.
13. Перечень субъектов персональных данных, чьи персональные данные обрабатываются организацией, должен ограничиваться только работниками организации и их родственниками. Количество субъектов –
не более 1000.
14. Перечень обрабатываемых персональных данных (автоматизированная и неавтоматизированная
обработка) должен ограничиваться следующим списком:
14.1. Персональные данные сотрудников:
14.1.1. Фамилия;
14.1.2. Имя;
14.1.3. Отчество;
14.1.4. Гражданство;
14.1.5. Адрес регистрации;
14.1.6. Адрес фактический;
14.1.7. Паспортные данные: пол, дата и место рождения, серия, номер, кем и когда выдан паспорт;
14.1.8. ИНН;
14.1.9. СНИЛС;
14.1.10. Номер трудовой книжки;
14.1.11. Данные об образовании: наименование образовательного учреждения, год его окончания, специальность по диплому, данные о знании иностранных языков;
14.1.12. Данные военного билета: номер, кем и когда выдан;
14.1.13. Военно-учетная специальность;
14.1.14. Категория запаса;
14.1.15. Звание;
14.1.16. Номер банковской карты;
14.1.17. Данные о заработной плате;
14.1.18. Сведения о занимаемой должности;
14.1.19. Данные о льготах
14.1.20. Номер мобильного и домашнего телефона;
14.2. Персональные данные родственников сотрудников:
14.2.1. Ф.И.О. близких родственников.
14.2.2. Годы рождения близких родственников.
14.2.3. Адреса проживания близких родственников.
14.2.4. Телефоны близких родственников.
Образец схемы расположения ПЭВМ относительно контролируемой зоны
Принтер
Монитор
Системный блок
Граница контролируемой зоны
2