Оператор персональных данных обязан обеспечить назначение прав и привилегий для пользователей, процессов, администраторов и других лиц, участвующих в работе информационной системы персональных данных (ИСПДн), которые необходимы для выполнения ими своих должностных обязанностей. Также необходимо санкционировать доступ к объектам доступа на основании этих прав и привилегий.
Роли, должностные обязанности и функции пользователей должны быть четко определены и зафиксированы в организационно-распорядительных документах по защите персональных данных. Также должны быть определены и задокументированы объекты доступа, для которых установлен наименьший уровень привилегий.
Доступ к объектам доступа осуществляется на основе минимально необходимых прав и привилегий, в соответствии с требованиями УПД.2.
Требования к усилению УПД.5
- Оператор персональных данных должен обеспечить предоставление прав и привилегий для доступа к функциям безопасности и параметрам настройки средств защиты информации исключительно администратору, наделенному полномочиями по администрированию системы защиты персональных данных (администратору безопасности).
- Запрещается предоставление расширенных прав и привилегий внешним пользователям (пользователям, не являющимся внутренними).
