1. Уровень защищенности
1.1. 1-УЗ
1.1.1. Автоматическая регистрация изменений полномочий
1.1.1.1. Автоматизация изменения полномочий
1.1.1.2. Отображение полномочий по доступу к ПДн
1.1.2. Создание отдельного структурного подразделения, ответственного за ИБ
1.1.2.1. Анализ целесообразности создания отдельного структурного подразделения
1.1.2.2. Создание отельного структурного подразделения
1.1.3. Использование сертифецированных СЗИ
1.1.3.1. Анализ способов подготовки и проведения атак
1.1.3.2. Утверждение руководителем подготовки совокупности атак и класса СКЗИ
1.1.3.3. Использование СКЗИ класса КА, когда актуальны угрозы 1 типа
1.1.3.4. Использование СКЗИ класса КВ и выше, когда актуальны угрозы 2 типа
1.1.4. Организация режима обеспечения безопасности помещения
1.1.4.1. Оборудовать окна, на первых и последних этажах металлическими решетками и сигнализацией
1.1.4.2. Оборудовать окна и двери, где расположены серверы, металлическими решетками и сигнализацией
1.1.5. 2-УЗ
1.1.5.1. Ограничение доступа к электронному журналу сообщений
1.1.5.1.1. Утверждение списка лиц, допущенных к электронному журналу
1.1.5.1.2. Автоматизированная регистрация запросов пользователей
1.1.5.1.3. Автоматизация доступа к электронному журналу
1.1.5.1.4. Контроль работоспособности АС 1 раз в пол года
1.1.5.2. Использование сертифецированных СЗИ
1.1.5.2.1. Анализ способов подготовки и проведения атак
1.1.5.2.2. Утверждение руководителем подготовки совокупности атак и класса СКЗИ
1.1.5.2.3. Использование СКЗИ класса КА, когда актуальны угрозы 1 типа
1.1.5.2.4. Использование СКЗИ класса КВ и выше, когда актуальны угрозы 2 типа
1.1.5.2.5. Использование СКЗИ класса КС1 и выше, когда актуальны угрозы 3 типа
1.1.5.3. 3-УЗ
1.1.5.3.1. Назначение ответственного за обеспечение безопасности ПДн
1.1.5.3.2. Квалификация ответственного за обеспечение безопасности ПДн
1.1.5.3.3. Использование сертифецированных СЗИ
1.1.5.3.4. 4-УЗ
2. Класс СКЗИ
2.1. КА
2.1.1. КВ
2.1.1.1. КС3
2.1.1.1.1. КС2
2.1.1.1.2. Физический доступ к СВТ
2.1.1.1.3. Возможность располагать аппаратными компонентами СКЗИ и СФ
2.1.1.2. Атаки с привлечением специалистов в области анализа сигналов и в области использования недекларированных возможностей прикладного ПО
2.1.1.3. Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны
2.1.1.4. Создание способов и средств атак в научно-исследовательских центрах.
2.1.2. Проведение атак с привлечением специалистов в области использования недекларированных возможностей системного ПО
2.1.3. Возможность располагать сведениями, содержащимися в конструкторской документации на компоненты СФ
2.1.4. Возможность располагать всеми аппаратными компонентами СКЗИ и СФ