agievich
commented
1 year ago Предлагается изменить требование:
Требование РП.11. Должны быть разработаны и реализованы правила хранения идентификационных и биометрических данных у РЦ, СИ и СР. Доступ к хранимым данным должен быть ограничен. Доступ должны иметь только операторы и сервисы РЦ, СИ и СР, которым этот доступ необходим. Должны быть определены сроки хранения данных. При выводе РЦ, СИ и СР из обращения хранимые данные должны уничтожаться.
вместо
Требование РП.10. Должны быть разработаны и реализованы правила хранения идентификационных и биометрических данных у РЦ, СИ и СР. Должна обеспечиваться конфиденциальность и контролироваться целостность хранимых данных, должны быть определены сроки хранения. При выводе РЦ, СИ и СР из обращения хранимые данные должны уничтожаться.
Изменена часть, выделенная наклоном шрифта. Обратим внимание на изменение нумерации. Редакция измененной части близка к редакции требования УА.1, где также говорится о контроле доступа.
Требования РП.10 по защите одного из основных объектов стандарта - идентификационных и биометрических данных - должны быть разъяснены: какими механизмами могут быть выполнены требования по конфиденциальности и контролю целостности при хранении. Достаточно ли использования механизма управления доступом СУБД или должны использоваться иные механизмы? Для других объектов стандарта - аттестатов - аналогичные требования детализированы в п. 6.2.