Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru
ЗИС.1
ЗИС.1 - Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы
Описание
В информационной системе персональных данных (ИСПДн) должно быть обеспечено разделение функциональных возможностей по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных (функций безопасности) и функциональных возможностей пользователей по обработке персональных данных.
Функциональные возможности по управлению (администрированию) ИСПДн и управлению (администрированию) системой защиты персональных данных включают функции по управлению базами данных, прикладным программным обеспечением, телекоммуникационным оборудованием, рабочими станциями, серверами, средствами защиты информации и иные функции, требующие высоких привилегий.
Разделение функциональных возможностей обеспечивается на физическом и (или) логическом уровне путем выделения части программно-технических средств ИСПДн, реализующих функциональные возможности по управлению (администрированию) ИСПДн и управлению (администрированию) системой защиты персональных данных, в отдельный домен, использования различных автоматизированных рабочих мест и серверов, различных типов операционных систем, разных способов аутентификации, различных сетевых адресов, выделенных каналов управления и (или) комбинаций данных способов, а также иными методами.
Требования к усилению ЗИС.1:
- в ИСПДн должно обеспечиваться исключение отображения функциональных возможностей по управлению (администрированию) ИСПДн, управлению (администрированию) системой защиты персональных данных в интерфейсе пользовател;
- в ИСПДн должно обеспечиваться выделение автоматизированных рабочих мест для администраторов ИСПДн;
- в ИСПДн должна осуществляться генерация и присвоение уникальных идентификаторов (одноразовых) для каждого сетевого соединения (сеанса взаимодействия) и контроль их подлинности (восприниматься должны только идентификаторы, сгенерированные ИСПДн);
- оператором персональных данных должно обеспечиваться исключение возможности управления (администрирования) ИСПДн, управления (администрирования) системой защиты персональных данных из-за пределов контролируемой зоны.
| Мера защиты персональных данных | Уровень защищенности персональных данных | |||
|---|---|---|---|---|
| 4 | 3 | 2 | 1 | |
| ЗИС.1 | + | |||
| Усиление ЗИС.1 | 3 | |||
