Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу admin@wikisec.ru

УПД.5

Материал из wikisec
Перейти к навигации Перейти к поиску

УПД.5 - Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

Описание

Оператором персональных данных должно быть обеспечено назначение прав и привилегий пользователям и запускаемым от их имени процессам, администраторам и лицам, обеспечивающим функционирование информационной системы персональных данных (ИСПДн), минимально необходимых для выполнения ими своих должностных обязанностей (функций), и санкционирование доступа к объектам доступа в соответствии с минимально необходимыми правами и привилегиями.

Оператором персональных данных должны быть однозначно определены и зафиксированы в организационно-распорядительных документах по защите персональных данных (задокументированы) роли и (или) должностные обязанности (функции), также объекты доступа, в отношении которых установлен наименьший уровень привилегий. Доступ к объектам доступа с учетом минимально необходимых прав и привилегий обеспечивается в соответствии с УПД.2.

Требования к усилению УПД.5:

  1. оператором персональных данных должно быть обеспечено предоставление прав и привилегий по доступу к функциям безопасности (параметрам настройки) средств защиты информации исключительно администратору, наделенному полномочиями по администрированию системы защиты персональных данных (администратору безопасности);
  2. запрет предоставления расширенных прав и привилегий внешним пользователям (пользователям, не являющимся внутренними пользователями).
Мера защиты персональных данных Уровень защищенности персональных данных
4 3 2 1
УПД.5 + + + +
Усиление УПД.5 1