Разделение полномочий (ролей) пользователей (мера УПД.4)

Изображение взято из открытых источников

Оператор персональных данных должен четко разделить полномочия (роли) пользователей, администраторов и других лиц, отвечающих за функционирование информационной системы персональных данных (ИСПДн), в соответствии с их должностными обязанностями (функциями). Эти полномочия (роли) должны быть зафиксированы в организационно-распорядительных документах по защите персональных данных. Санкционирование доступа к объектам доступа должно осуществляться на основе четко определенного разделения ролей.

Доступ к объектам доступа с учетом разделения полномочий (ролей) осуществляется в соответствии с УПД.2.

Требования к усилению УПД.4

1. Каждая роль, связанная с обработкой персональных данных, администрированием ИСПДн и ее системы защиты, а также с контролем (мониторингом) за уровнем защищенности и обеспечением функционирования ИСПДн, должна быть закреплена за отдельным должностным лицом.
2. Необходимо исключить возможность наделения одного должностного лица одновременно полномочиями (ролями) по обработке персональных данных и администрированию ИСПДн или ее системы защиты, контролю (мониторингу) за уровнем защищенности и обеспечению функционирования ИСПДн.
3. Следует избегать назначения одного должностного лица, ответственного за контроль (мониторинг) за уровнем защищенности персональных данных, одновременно администратором ИСПДн и системы защиты персональных данных или ответственным за обеспечение функционирования ИСПДн.
4. Также важно исключить совмещение полномочий (ролей) по администрированию системы защиты персональных данных ИСПДн с обязанностями по обеспечению функционирования ИСПДн.
5. Оператор персональных данных должен определить администратора, который будет иметь право передавать полномочия по администрированию ИСПДн и системы защиты другим лицам и осуществлять контроль за использованием этих полномочий (супервизор).

Содержание базовой меры УПД.4

Читайте также