В целях исключения неконтролируемого пребывания посторонних лиц при обработке персональных данных и в соответствии с требованиями Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных» оператор обязан определить границами контролируемой зоны информационной системы персональных данных, периметр, находящихся по адресу физического размещения ИСПД.
Границы контролируемых зон информационных систем персональных данных определяются в зависимости от уровня конфиденциальности обрабатываемых персональных данных и требований к их защите. Эти зоны могут быть разделены на следующие уровни:
Первый уровень - зона общего доступа, куда могут иметь доступ все сотрудники организации.
Второй уровень - зона ограниченного доступа, куда могут иметь доступ только сотрудники, у которых есть необходимость в доступе к персональным данным.
Третий уровень - зона повышенной конфиденциальности, куда могут иметь доступ только сотрудники, которые имеют высокий уровень допуска и необходимость в доступе к наиболее конфиденциальным персональным данным.
Четвертый уровень - зона особой конфиденциальности, куда могут иметь доступ только лица, которые имеют высшую степень допуска и необходимость в доступе к наиболее конфиденциальным персональным данным.
Границы каждой зоны определяются физически, например, помещениями, зонами доступа к информационным системам, а также техническими средствами, например, системами контроля доступа и видеонаблюдения. Каждая зона имеет свой уровень защиты и требования к безопасности персональных данных, которые обрабатываются в ней.