Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru

УПД.5: различия между версиями

Материал из wikisec
Перейти к навигации Перейти к поиску
(Новая страница: «'''УПД.5''' - Назначение минимально необходимых прав и привилегий пользователям, администр...»)
 
 
(не показана 1 промежуточная версия этого же участника)
Строка 2: Строка 2:
  
 
== Описание ==
 
== Описание ==
Оператором персональных данных должно быть обеспечено назначение прав и привилегий пользователям и запускаемым от их имени процессам, администраторам и лицам, обеспечивающим функционирование информационной системы персональных данных (ИСПДн), минимально необходимых для выполнения ими своих должностных обязанностей (функций), и санкционирование доступа к объектам доступа в соответствии с минимально необходимыми правами и привилегиями.  
+
Оператором должно быть обеспечено назначение прав и привилегий пользователям и запускаемым от их имени процессам, администраторам и лицам, обеспечивающим функционирование информационной системы, минимально необходимых для выполнения ими своих должностных обязанностей (функций), и санкционирование доступа к объектам доступа в соответствии с минимально необходимыми правами и привилегиями.
  
Оператором персональных данных должны быть однозначно определены и зафиксированы в организационно-распорядительных документах по защите персональных данных (задокументированы) роли и (или) должностные обязанности (функции), также объекты доступа, в отношении которых установлен наименьший уровень привилегий. Доступ к объектам доступа с учетом минимально необходимых прав и привилегий обеспечивается в соответствии с [[УПД.2]].  
+
Оператором должны быть однозначно определены и зафиксированы в организационно-распорядительных документах по защите информации (задокументированы) роли и (или) должностные обязанности (функции), также объекты доступа, в отношении которых установлен наименьший уровень привилегий. Доступ к объектам доступа с учетом минимально необходимых прав и привилегий обеспечивается в соответствии с [[УПД.2]].
  
 
==Требования к усилению УПД.5: ==
 
==Требования к усилению УПД.5: ==
  
#оператором персональных данных должно быть обеспечено предоставление прав и привилегий по доступу к функциям безопасности (параметрам настройки) средств защиты информации исключительно администратору, наделенному полномочиями по администрированию системы защиты персональных данных (администратору безопасности);  
+
#оператором должно быть обеспечено предоставление прав и привилегий по доступу к функциям безопасности (параметрам настройки) средств защиты информации исключительно администратору, наделенному полномочиями по администрированию системы защиты информации (администратору безопасности);
#запрет предоставления расширенных прав и привилегий внешним пользователям (пользователям, не являющимся внутренними пользователями).  
+
#запрет предоставления расширенных прав и привилегий внешним пользователям (пользователям, не являющимся внутренними пользователями).
 +
 
 +
  
 
{| class="wikitable" style="text-align:center;"
 
{| class="wikitable" style="text-align:center;"
 
|- style="text-align:left;"
 
|- style="text-align:left;"
! rowspan="2" | Мера защиты персональных данных
+
! rowspan="2" | Мера защиты информации
! colspan="4" style="text-align:center;" | Уровень защищенности персональных данных
+
! colspan="4" style="text-align:center;" | Класс защищенности информационной системы
 
|-
 
|-
 
| 4
 
| 4
Строка 22: Строка 24:
 
|-
 
|-
 
| style="text-align:left;" | УПД.5
 
| style="text-align:left;" | УПД.5
| +
+
|  
 
| +
 
| +
 
| +
 
| +
Строка 33: Строка 35:
 
| 1
 
| 1
 
|}
 
|}
[[Категория: Меры по обеспечению безопасности ПДн]]
+
[[Категория: Меры защиты информации в государственных информационных системах]]

Текущая версия на 13:57, 8 октября 2021

УПД.5 - Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

Описание

Оператором должно быть обеспечено назначение прав и привилегий пользователям и запускаемым от их имени процессам, администраторам и лицам, обеспечивающим функционирование информационной системы, минимально необходимых для выполнения ими своих должностных обязанностей (функций), и санкционирование доступа к объектам доступа в соответствии с минимально необходимыми правами и привилегиями.

Оператором должны быть однозначно определены и зафиксированы в организационно-распорядительных документах по защите информации (задокументированы) роли и (или) должностные обязанности (функции), также объекты доступа, в отношении которых установлен наименьший уровень привилегий. Доступ к объектам доступа с учетом минимально необходимых прав и привилегий обеспечивается в соответствии с УПД.2.

Требования к усилению УПД.5:

  1. оператором должно быть обеспечено предоставление прав и привилегий по доступу к функциям безопасности (параметрам настройки) средств защиты информации исключительно администратору, наделенному полномочиями по администрированию системы защиты информации (администратору безопасности);
  2. запрет предоставления расширенных прав и привилегий внешним пользователям (пользователям, не являющимся внутренними пользователями).


Мера защиты информации Класс защищенности информационной системы
4 3 2 1
УПД.5 + + +
Усиление УПД.5 1
Источник — https://wikisec.ru/index.php?title=УПД.5&oldid=17177