6.5.1. Для информационных систем обработки специальных категорий персональных данных применяются все требования по обеспечению безопасности, определенные в разделе 6.3, а также следующие требования.
6.5.2. Идентификация информационных ресурсов (например, информационных массивов, баз данных, файлов, обрабатывающих их программ), содержащих персональные данные, должна осуществляться по логическим именам.
6.5.3. Контроль доступа субъектов к защищаемым информационным ресурсам в соответствии с правами доступа указанных субъектов является обязательным.
6.5.4. Регистрация печати материалов, содержащих персональные данные, является обязательной. В журнале регистрации событий, который ведется в электронном виде ИСПДн, указываются следующие параметры:
- дата и время печати;
- спецификация устройства печати (логическое имя (номер) внешнего устройства);
- полное наименование (вид, шифр, код) материала;
- идентификатор субъекта доступа, запросившего печать материала;
- объем фактически отпечатанного материала (количество страниц, листов, копий) и результат печати: успешная (весь объем) или неуспешная.
6.5.5. Регистрация запуска программ и процессов, осуществляющих доступ к защищаемым информационным ресурсам, является обязательной. В журнале регистрации событий, который ведется в электронном виде ИСПДн, указываются следующие параметры:
- дата и время запуска;
- имя (идентификатор) программы (процесса, задания);
- идентификатор субъекта доступа, запросившего программу (процесс, задание);
- результат попытки запуска: успешная или неуспешная (несанкционированная);
- дата и время попытки доступа к защищаемому информационному ресурсу;
- имя (идентификатор) защищаемого информационного ресурса;
- вид запрашиваемой операции (например, чтение, запись, модификация, удаление);
- результат попытки доступа: успешная или неуспешная (несанкционированная).
6.5.6. Регистрация изменений полномочий субъектов доступа и статуса объектов доступа (защищаемых информационных ресурсов) является обязательной. В журнале регистрации событий, который ведется в электронном виде ИСПДн, указываются следующие параметры:
- дата и время изменения;
- содержание изменения с указанием идентификатора субъекта доступа, чьи полномочия подверглись изменению, или логического имени защищаемого информационного ресурса, чей статус изменился;
- идентификатор администратора информационной безопасности, осуществившего изменение.
6.5.7. В ИСПДн не должно быть субъекта доступа, имеющего полномочия, а при возможности и технические средства по уничтожению и модификации информации, содержащейся в журналах регистрации событий, указанных в пунктах 6.5.4-6.5.6.
Очистка журналов регистрации событий регламентируется разработчиком ИСПДн в эксплуатационной документации на ИСПДн. Перед очисткой журналов регистрации событий должно производиться архивирование содержащейся в них информации путем перемещения информации в соответствующий архив.
Операция по архивированию журнала регистрации событий должна, в свою очередь, регистрироваться с указанием времени и идентификатора работника, выполнившего операцию, в качестве первой записи в действующем журнале регистрации событий.
Архивы журналов регистрации событий уничтожаются только администратором информационной безопасности, в зоне ответственности которого находятся данные архивы, не ранее чем через три года с момента появления последней записи в данной архивной копии.
6.5.8. С целью недопущения изменения состава ПО ИСПДн, комплекс средств автоматизации которой представляет собой автономное, изолированное на физическом уровне в соответствии с эталонной моделью взаимодействия открытых систем - моделью OSI, автоматизированное рабочее место (АРМ) работника или работников, из ПО должны быть исключены программные средства, предназначенные для разработки и отладки ПО (либо содержащие средства разработки, отладки и тестирования программно-аппаратного обеспечения). Если стандартные программные средства общего назначения (например, MS Office) не обеспечивают возможности выборочного удаления из них средств разработки и отладки ПО, допускается использование этих программных средств при условии, что документально введен запрет использования отдельных их компонент (средств разработки и отладки ПО).
6.5.9. В ИСПДн, комплекс средств автоматизации которой включает одно или несколько сетевых АРМ, сетевого оборудования и серверов, технические и программные средства, предназначенные для разработки и отладки ПО либо содержащие средства разработки, отладки и тестирования программно-аппаратного обеспечения, должны располагаться в сегментах локальной вычислительной сети (ЛВС), изолированных (на уровне не выше сетевого в соответствии с эталонной моделью взаимодействия открытых систем - моделью OSI) от сегментов, задействованных в обработке персональных данных.
Параметры настроек технических и программных средств, обеспечивающих указанное разделение, а также процедура контроля этих параметров настроек регламентируются разработчиком в эксплуатационной документации на ИСПДн.