Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru

УПД.4: различия между версиями

Материал из wikisec
Перейти к навигации Перейти к поиску
м (Замена текста — «Меры по обеспечению безопасности ПДн]» на «Меры защиты информации в государственных информационных системах]»)
 
Строка 2: Строка 2:
  
 
== Описание ==
 
== Описание ==
Оператором персональных данных должно быть обеспечено разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы персональных данных (ИСПДн), в соответствии с их должностными обязанностями (функциями), фиксирование в организационно-распорядительных документах по защите персональных данных (документирование) полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИСПДн, и санкционирование доступа к объектам доступа в соответствии с разделением полномочий (ролей).  
+
Оператором должно быть обеспечено разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, в соответствии с их должностными обязанностями (функциями), фиксирование в организационно-распорядительных документах по защите информации (документирование) полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, и санкционирование доступа к объектам доступа в соответствии с разделением полномочий (ролей).
  
 
Доступ к объектам доступа с учетом разделения полномочий (ролей) обеспечивается в соответствии с [[УПД.2]].  
 
Доступ к объектам доступа с учетом разделения полномочий (ролей) обеспечивается в соответствии с [[УПД.2]].  
Строка 8: Строка 8:
 
==Требования к усилению УПД.4: ==
 
==Требования к усилению УПД.4: ==
  
#оператором персональных данных должно быть обеспечено выполнение каждой роли по обработке персональных данных, администрированию ИСПДн, ее системы защиты персональных данных, контролю (мониторингу) за обеспечением уровня защищенности персональных данных, обеспечению функционирования ИСПДн отдельным должностным лицом;  
+
#оператором должно быть обеспечено выполнение каждой роли по обработке информации, администрированию информационной системы, ее системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы отдельным должностным лицом;
#оператором персональных данных должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по обработке персональных данных и полномочиями (ролью) по администрированию ИСПДн и (или) ее системы защиты персональных данных, контролю (мониторингу) за обеспечением уровня защищенности персональных данных, обеспечению функционирования ИСПДн;  
+
#оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по обработке информации и полномочиями (ролью) по администрированию информационной системы и (или) ее системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы;
#оператором персональных данных должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по контролю (мониторингу) за обеспечением уровня защищенности персональных данных и полномочиями (ролью) по администрированию ИСПДн и (или) ее системы защиты персональных данных и обеспечению функционирования ИСПДн;  
+
#оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по контролю (мониторингу) за обеспечением уровня защищенности информации и полномочиями (ролью) по администрированию информационной системы и (или) ее системы защиты информации и обеспечению функционирования информационной системы;
#оператором персональных данных должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по администрированию системы защиты персональных данных ИСПДн и полномочиями (ролью) по обеспечению функционирования ИСПДн;  
+
#оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по администрированию системы защиты информации информационной системы и полномочиями (ролью) по обеспечению функционирования информационной системы;
#оператором персональных данных должен быть определен администратор, имеющий права по передаче полномочий по администрированию ИСПДн и системы защиты персональных данных другим лицам и осуществляющий контроль за использованием переданных полномочий (супервизор).
+
#оператором должен быть определен администратор, имеющий права по передаче полномочий по администрированию информационной системы и системы защиты информации другим лицам и осуществляющий контроль за использованием переданных полномочий (супервизор).
 +
 
  
 
{| class="wikitable" style="text-align:center;"
 
{| class="wikitable" style="text-align:center;"
 
|- style="text-align:left;"
 
|- style="text-align:left;"
! rowspan="2" | Мера защиты персональных данных
+
! rowspan="2" | Мера защиты информации
! colspan="4" style="text-align:center;" | Уровень защищенности персональных данных
+
! colspan="4" style="text-align:center;" | Класс защищенности информационной системы
 
|-
 
|-
 
| 4
 
| 4
Строка 25: Строка 26:
 
|-
 
|-
 
| style="text-align:left;" | УПД.4
 
| style="text-align:left;" | УПД.4
| +
+
|  
 
| +
 
| +
 
| +
 
| +

Текущая версия на 13:55, 8 октября 2021

УПД.4 - Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

Описание

Оператором должно быть обеспечено разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, в соответствии с их должностными обязанностями (функциями), фиксирование в организационно-распорядительных документах по защите информации (документирование) полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, и санкционирование доступа к объектам доступа в соответствии с разделением полномочий (ролей).

Доступ к объектам доступа с учетом разделения полномочий (ролей) обеспечивается в соответствии с УПД.2.

Требования к усилению УПД.4:

  1. оператором должно быть обеспечено выполнение каждой роли по обработке информации, администрированию информационной системы, ее системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы отдельным должностным лицом;
  2. оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по обработке информации и полномочиями (ролью) по администрированию информационной системы и (или) ее системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы;
  3. оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по контролю (мониторингу) за обеспечением уровня защищенности информации и полномочиями (ролью) по администрированию информационной системы и (или) ее системы защиты информации и обеспечению функционирования информационной системы;
  4. оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по администрированию системы защиты информации информационной системы и полномочиями (ролью) по обеспечению функционирования информационной системы;
  5. оператором должен быть определен администратор, имеющий права по передаче полномочий по администрированию информационной системы и системы защиты информации другим лицам и осуществляющий контроль за использованием переданных полномочий (супервизор).


Мера защиты информации Класс защищенности информационной системы
4 3 2 1
УПД.4 + + +
Усиление УПД.4 1
Источник — https://wikisec.ru/index.php?title=УПД.4&oldid=17176