Положение о разрешительной системе доступа в инф.системах перс.данных

Опубликовано на сайте

2 марта 2023

Скачать Хочу такой сайт

Посмотреть 

2.2.
Настоящее Положение определяет методы управления доступом, типы доступа
и правила разграничения доступа субъектов доступа к объектам доступа в ИСПДн.
2.3. Положение обязательно для исполнения всеми работниками МБДОУ, непосредственно осуществляющими защиту ПДн.
3. Субъекты и объекты доступа
3.1. К субъектам доступа ИСПДн, относятся работники, выполняющие свои должностные обязанности (функции) с использованием информации, информационных технологий и технических средств ИСПДн в соответствии с должностными инструкциями и которым в ИСПДн присвоены учетные записи.
3.2. К объектам доступа в ИСПДн, относятся:
– средства вычислительной техники;
– средства связи и передачи данных;
– средства обеспечения бесперебойной работы средств вычислительной техники и
средств связи и передачи данных;
– основные конфигурационные файлы операционных систем, средств связи и передачи данных и средств защиты информации (далее – СЗИ);
– средства настройки и управления операционной системой, средств связи и передачи данных и СЗИ;
– прикладное программное обеспечение;
– периферийные устройства;
– машинные носители информации;
– обрабатываемые, хранимые данные.
4. Методы разграничения доступа
4.1. Методы разграничения доступа к ИСПДн реализуются в соответствии с особенностями функционирования ИСПДн и включают комбинацию следующих методов:
– ролевой метод управления доступом;
– дискреционный метод управления доступом.
4.2. Реализация ролевого метода управления доступом в ИСПДн представлена в
таблице 1.
Таблица 1
№
п/п

Роль субъекта доступа

1

Администратор безопасности

2

Пользователь

Уровень доступа к объектам доступа
- обладает полной информацией о конфигурации системы защиты
ПДн (структуре системы защиты ПДн, составе, местах установки и
параметров настройки СЗИ);
- обладает полной информацией о конфигурации ИСПДн (структуре
ИСПДн, состава, мест установки и параметров программного обеспечения и технических средств);
- обладает правами настройки и конфигурирования СЗИ;
- обладает правами настройки и конфигурирования средств связи передачи данных;
- обладает правами настройки и конфигурирования операционных
систем и прикладного программного обеспечения;
- обладает правами внесения изменений в программное обеспечение
ИСПДн на стадии ее разработки, внедрения и сопровождения.
- обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ к ИСПДн.

4.3. Реализация дискреционного метода управления доступом достигается путем
назначения прав доступа для каждой пары «Роль субъекта доступа» – «Объект доступа»
явного и недвусмысленного перечисления допустимых типов доступа в соответствии с
Матрицей доступа работников к ресурсам информационных систем персональных данных
2

(далее – Матрица доступа), форма которой установлена в Приложении к настоящему Положению.
5. Типы доступа
5.1. В ИСПДн определены следующие типы доступа субъектов доступа к объектам
доступа:
– чтение (R) – субъекту доступа разрешено просматривать содержимое объекта
доступа;
– запись (W) – субъекту доступа разрешено просматривать, записывать и создавать новый объект доступа;
– выполнение (E) – субъекту доступа разрешено запускать/выполнять объект доступа;
– печать (P) – субъекту доступа разрешена печать;
– сканирование (S) – субъекту доступа разрешено сканирование;
– полный (F) – субъект доступа имеет полный доступ к объектам доступа.
5.2. Разрешенные к выполнению, субъектами доступа при доступе к объектам доступа в ИСПДн, типы доступа, определены в Матрице доступа.
6. Правила разграничения доступа
6.1. В ИСПДн правила разграничения доступа реализованы совокупностью правил,
регламентирующих порядок и условия доступа субъекта к объектам доступа в ИСПДн:
– разделение обязанностей и назначение минимально необходимых прав пользователям и администраторам;
– управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей ИСПДн;
– управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками в ИСПДн;
– ограничение неуспешных попыток доступа в ИСПДн;
– разрешение (запрет) действий пользователей ИСПДн, разрешенных до идентификации и аутентификации;
– реализация защищенного удаленного доступа субъектов доступа к объектам
доступа через внешние информационно-телекоммуникационные сети;
– контроль использования в ИСПДн технологий беспроводного доступа;
– контроль использования в ИСПДн мобильных технических средств;
– управление взаимодействием с ИСПДн организаций (внешние информационные
системы).
6.2. Права и обязанности пользователей зафиксированы в «Инструкции пользователя информационных систем персональных данных».
6.3. Права и обязанности администратора зафиксированы в «Инструкции администратора информационных систем персональных данных».
6.4. Права и обязанности администратора безопасности зафиксированы в «Инструкции ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных».
6.5. Управление (заведение, активацию, блокирование и уничтожение) учетными
записями пользователей ИСПДн, осуществляет администратор ИСПДн.
6.6. Администратор ИСПДн определяет и назначает права доступа субъектов к
объектам доступа в ИСПДн в соответствии с исполняемой ролью субъекта в ИСПДн и
Матрицей доступа.
6.7. В ИСПДн реализованы следующие функции управления учетными записями
пользователей ИСПДн:
3

– определение типа учетной записи (пользователь, администратор, системная);
– объединение учетных записей в группы (пользователи, администраторы);
– верификация пользователя при заведении учетной записи пользователя;
– заведение, активация, блокирование и уничтожение учетных записей пользователей ИСПДн;
– пересмотр и корректировка учетных записей пользователей ИСПДн;
– порядок заведения и контроля использования временных учетных записей Пользователей ИСПДн;
– оповещение администратора ИСПДн, осуществляющего управление учетными
записями пользователей ИСПДн, об изменении сведений о пользователях ИСПДн, их ролях, обязанностях, полномочиях, ограничениях;
– уничтожение временных учетных записей пользователей ИСПДн, предоставленных для однократного (ограниченного по времени) выполнения задач в ИСПДн;
– предоставление пользователям ИСПДн прав доступа к объектам доступа
ИСПДн, основываясь на задачах, решаемых пользователями ИСПДн.
6.8. Временная учетная запись может быть заведена для пользователя ИСПДн на
ограниченный срок для выполнения задач, требующих расширенных полномочий, или для
проведения настройки, тестирования, для организации гостевого доступа (посетителям,
сотрудникам сторонних организаций, стажерам и иным пользователям ИСПДн с временным доступом к ИСПДн).
6.9. В ИСПДн осуществляется автоматическое блокирование временных учетных
записей Пользователей ИСПДн по окончании установленного периода времени для их использования.
6.10. При передаче информации между устройствами, сегментами в рамках
ИСПДн, осуществляется управление информационными потоками, включающее:
– фильтрацию информационных потоков в соответствии с правилами управления
потоками;
– разрешение передачи информации в ИСПДн только по установленному маршруту;
– изменение (перенаправление) маршрута передачи информации только в установленных случаях;
– запись во временное хранилище информации для анализа и принятия решения о
возможности ее дальнейшей передачи в установленных случаях.
6.11. Управление информационными потоками обеспечивает разрешенный маршрут прохождения информации между пользователями ИСПДн, устройствами, сегментами в рамках ИСПДн, а также при взаимодействии с сетью Интернет (или другими информационно-телекоммуникационными сетями международного информационного обмена)
на основе правил управления информационными потоками, включающих контроль конфигурации ИСПДн, источника и получателя передаваемой информации, структуры передаваемой информации, характеристик информационных потоков и (или) канала связи (без
анализа содержания информации).
6.12. Управление информационными потоками блокирует передачу защищаемой
информации через сеть Интернет (или другие информационно-телекоммуникационные
сети международного информационного обмена) по незащищенным линиям связи, сетевые запросы и трафик, не санкционированно исходящие из ИСПДн и (или) входящие в
ИСПДн.
6.13. В ИСПДн установлено и зафиксировано в «Инструкции по парольной защите
информации»:
– количество неуспешных попыток входа (доступа) ИСПДн за установленный период времени;
– блокирование сеанса доступа пользователя ИСПДн после установленного времени его бездействия (неактивности).
4

6.14. В ИСПДн обеспечивается блокирование сеанса доступа пользователя ИСПДн
по запросу.
6.15. Для заблокированного сеанса осуществляется блокирование любых действий
по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса.
6.16. Администратору ИСПДн и ответственному за обеспечение безопасности ПДн
в ИСПДн разрешаются действия в обход установленных процедур идентификации и аутентификации, необходимые только для восстановления функционирования ИСПДн в
случае сбоев в работе или выходе из строя отдельных технических средств (устройств).
6.17. Регламентация и контроль использования съемных машинных носителей
ПДн, описаны в «Порядке обращения со съемными машинными носителями персональных данных».
6.18. В ИСПДн при взаимодействии с внешними информационными системами,
взаимодействие с которыми необходимо для функционирования ИСПДн, предоставление
доступа к ИСПДн осуществляется только авторизованным (уполномоченным) пользователям ИСПДн в соответствии с Матрицей доступа.
7. Ответственность
7.1. Настоящее Положение вступает в силу с момента его утверждения и действует
бессрочно.
7.2. Настоящее Положение подлежит пересмотру не реже одного раза в три года.
7.3. Изменения и дополнения в настоящее Положение вносятся приказом заведующего МБДОУ.

5

С Положением о разрешительной системе доступа в информационных системах персональных данных МБДОУ - детский сад № 186
ОЗНАКОМЛЕНЫ:
№
пп

Дата

ФИО сотрудника

Должность

Подпись

6

Приложение 1

Матрица доступа
субъектов к ресурсам информационных систем персональных данных
МБДОУ – детский сад № 186
Объект доступа
Средства
Средства наОсновные конфигуОсновные конфигу- настройки и
Субъект доступа
стройки и
Прикладное
рационные файлы
рационные файлы
управления
управления
программное
операционной систесредств защиты
средств защиоперационной
обеспечение
мы
информации
ты информасистемой
ции

Периферийные
устройства

Съемные
машинные
носители
информации

Обрабатываемые,
хранимые данные

Настройки
BIOS /
UEFI

Администратор

F

F

-

-

F

P/S

-

-

F

Администратор
безопасности

F

F

F

F

F

P/S

F

F

F

R-E

-

-

-

R-E

P/S

F

F

-

Пользователь

Типы доступа:

чтение (R) – субъекту доступа разрешено просматривать содержимое объекта доступа;

запись (W) – субъекту доступа разрешено просматривать, записывать и создавать новый объект доступа;

выполнение (E) - субъекту доступа разрешено запускать/выполнять объект доступа;

печать (P) – субъекту доступа разрешена печать;

сканирование (S) – субъекту доступа разрешено сканирование;

полный (F) – субъект доступа имеет полный доступ к объектам доступа.

Ссылки

Наверх
На сайте используются файлы cookie. Продолжая использование сайта, вы соглашаетесь на обработку своих персональных данных. Подробности об обработке ваших данных — в политике конфиденциальности.

Функционал «Мастер заполнения» недоступен с мобильных устройств.
Пожалуйста, воспользуйтесь персональным компьютером для редактирования информации в «Мастере заполнения».