В информационной системе персональных данных (ИСПДн) для контроля доступа пользователей к важным ресурсам должны быть предусмотрены и реализованы эффективные методы управления доступом, определенные оператором персональных данных. Кроме того, необходимо назначить соответствующие типы доступа для каждого пользователя и внедрить правила, регулирующие доступ к различным объектам системы.
Методы управления доступом
Выбор методов управления доступом определяется особенностями функционирования ИСПДн и угрозами безопасности персональных данных. Среди них можно выделить три основных подхода:
- Дискреционный метод управления доступом - контроль доступа осуществляется на основе идентификационной информации пользователя и списков доступа для каждого объекта. Эти списки включают перечень пользователей (групп пользователей) и соответствующие им типы доступа.
- Ролевой метод управления доступом - доступ к ресурсам регулируется на основе ролей пользователей, представляющих собой совокупность действий и обязанностей, связанных с конкретным видом деятельности.
- Мандатный метод управления доступом - основан на сопоставлении классификационных меток, которые отражают уровни доступа для пользователей и ресурсов. Эти метки представляют собой комбинации иерархических и неиерархических категорий, что позволяет точно настроить доступ в соответствии с требованиями безопасности.
Типы доступа
Типы доступа должны охватывать операции чтения, записи, удаления и выполнения, разрешенные пользователю или запущенному от его имени процессу. Эти операции должны быть четко определены и закреплены в соответствующих правилах разграничения доступа.
Правила разграничения доступа
Правила разграничения доступа формируются на основе списков доступа, установленных оператором персональных данных, или матриц доступа. Они обеспечивают контроль над доступом пользователей и процессов при входе в систему, а также к техническим средствам, устройствам, файловой системе, запускаемым и исполняемым модулям, объектам систем управления базами данных, объектам, создаваемым прикладным и специальным программным обеспечением, параметрам настройки средств защиты информации, информации о конфигурации системы защиты персональных данных и другим важным ресурсам. Эти правила детально регламентируются в организационно-распорядительных документах оператора персональных данных, что обеспечивает их соблюдение и защиту.
Требования к усилению УПД.2
Для усиления защиты персональных данных в ИСПДн необходимо обеспечить соблюдение следующих требований:
- Правила разграничения доступа должны контролировать доступ пользователей при входе в систему.
- Необходимо контролировать доступ к техническим средствам, устройствам и внешним носителям.
- Правила разграничения должны регулировать доступ к объектам, создаваемым общесистемным программным обеспечением.
- Правила разграничения также должны регулировать доступ к объектам, создаваемым прикладным и специальным программным обеспечением.
