Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу admin@wikisec.ru

УПД.2

Материал из wikisec
Перейти к навигации Перейти к поиску

УПД.2 - Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

Описание

В информационной системе персональных данных (ИСПДн) для управления доступом субъектов доступа к объектам доступа должны быть реализованы установленные оператором персональных данных методы управления доступом, назначены типы доступа субъектов к объектам доступа и реализованы правила разграничения доступа субъектов доступа к объектам доступа. Методы управления доступом реализуются в зависимости от особенностей функционирования ИСПДн, с учетом угроз безопасности персональных данных и должны включать один или комбинацию следующих методов:

  • дискреционный метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе идентификационной информации субъекта и для каждого объекта доступа – списка, содержащего набор субъектов доступа (групп субъектов) и ассоциированных с ними типов доступа;
  • ролевой метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе ролей субъектов доступа (совокупность действий и обязанностей, связанных с определенным видом деятельности);
  • мандатный метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе сопоставления классификационных меток каждого субъекта доступа и каждого объекта доступа, отражающих классификационные уровни субъектов доступа и объектов доступа, являющиеся комбинациями иерархических и неиерархических категорий.

Типы доступа должны включать операции по чтению, записи, удалению, выполнению и иные операции, разрешенные к выполнению пользователем (группе пользователей) или запускаемому от его имени процессу при доступе к объектам доступа. Правила разграничения доступа реализуются на основе установленных оператором персональных данных списков доступа или матриц доступа и должны обеспечивать управление доступом пользователей (групп пользователей) и запускаемых от их имени процессов при входе в систему, доступе к техническим средствам, устройствам, объектам файловой системы, запускаемым и исполняемым модулям, объектам систем управления базами данных, объектам, создаваемым прикладным и специальным программным обеспечением, параметрам настройки средств защиты информации, информации о конфигурации системы защиты персональных данных и иной информации о функционировании системы защиты персональных данных, а также иным объектам доступа. Правила разграничения доступа регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.

Требования к усилению УПД.2:

  1. в ИСПДн правила разграничения доступа должны обеспечивать управление доступом субъектов при входе в ИСПДн;
  2. в ИСПДн правила разграничения доступа должны обеспечивать управление доступом субъектов к техническим средствам, устройствам, внешним устройствам;
  3. в ИСПДн правила разграничения доступа должны обеспечивать управление доступом субъектов к объектам, создаваемым общесистемным (общим) программным обеспечением;
  4. в ИСПДн правила разграничения доступа должны обеспечивать управление доступом субъектов к объектам, создаваемым прикладным и специальным программным обеспечением.
Мера защиты персональных данных Уровень защищенности персональных данных
4 3 2 1
УПД.2 + + + +
Усиление УПД.2 1,2,3 1,2,3 1,2,3,4