|
|
@@ -1,7 +1,9 @@
|
|
|
-# Управление доступом субъектов доступа к объектам доступа
|
|
|
+# Управление доступом субъектов доступа к объектам доступа
|
|
|
|
|
|
|
|
|
|
|
|
+Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
|
|
|
+
|
|
|
В информационной системе персональных данных (ИСПДн) должно обеспечиваться управление доступом субъектов доступа к объектам доступа, в том числе внутри виртуальных машин, в соответствии с УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13.
|
|
|
При реализации мер по управлению доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре должны обеспечиваться:
|
|
|
* контроль доступа субъектов доступа к средствам управления компонентами виртуальной инфраструктуры;
|
|
|
@@ -22,6 +24,53 @@
|
|
|
|
|
|
4) в ИСПДн должен обеспечиваться контроль доступа субъектов доступа к изолированному адресному пространству в памяти гипервизора, в памяти хостовой операционной системы, виртуальных машин и (или) иных объектов доступа.
|
|
|
|
|
|
+Требования к усилению УПД.10:
|
|
|
+
|
|
|
+1) в ИСПДн обеспечивается блокирование сеанса доступа пользователя после времени бездействия (неактивности) пользователя:
|
|
|
+а) до 15 минут;
|
|
|
+б) до 5 минут;
|
|
|
+
|
|
|
+2) в ИСПДн на устройстве отображения (мониторе) после блокировки сеанса не должна отображаться информация сеанса пользователя (в том числе использование «хранителя экрана», гашение экрана или иные способы);
|
|
|
+
|
|
|
+3) в ИСПДн обеспечивается завершение сеанса пользователя (выхода из системы) после превышения установленного оператором персональных данных времени бездействия (неактивности) пользователя.
|
|
|
+
|
|
|
+УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации
|
|
|
+Оператором персональных данных должен быть установлен перечень действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации, и запрет действий пользователей, не включенных в перечень разрешенных действий, до прохождения ими процедур идентификации и аутентификации.
|
|
|
+Разрешение действий пользователей до прохождения ими процедур идентификации и аутентификации осуществляется, в том числе, при предоставлении пользователям доступа к общедоступной информации (веб-сайтам, порталам, иным общедоступным ресурсам).
|
|
|
+Также администратору разрешаются действия в обход установленных процедур идентификации и аутентификации, необходимые только для восстановления функционирования информационной системы персональных данных в случае сбоев в работе или выходе из строя отдельных технических средств (устройств).
|
|
|
+Правила и процедуры определения действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации, регламентируются в организационно-распорядительных документах оператора по защите персональных данных.
|
|
|
+
|
|
|
+Требования к усилению УПД.11: Не установлены.
|
|
|
+
|
|
|
+Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки
|
|
|
+В информационной системе персональных данных (ИСПДн) должны обеспечиваться поддержка (обновление, назначение, изменение) и сохранение атрибутов безопасности (меток безопасности), установленных оператором персональных данных, связанных с персональными данными в процессе их обработки.
|
|
|
+Атрибуты безопасности (метки безопасности) представляют собой свойства (характеристики) объектов и (или) субъектов доступа, которые используются для контроля доступа субъектов к объектам доступа и управления информационными потоками.
|
|
|
+Правила и процедуры поддержки и сохранения атрибутов безопасности регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
|
|
|
+
|
|
|
+Требования к усилению УПД.12:
|
|
|
+
|
|
|
+1) в ИСПДн обеспечивается динамическое изменение атрибутов безопасности в соответствии с организационно-распорядительными документами по защите персональных данных оператора персональных данных в зависимости от процесса обработки персональных данных (формирование, объединение, разделение информационных ресурсов);
|
|
|
+
|
|
|
+2) в ИСПДн допускается изменение атрибутов безопасности только авторизованными пользователям или процессами;
|
|
|
+
|
|
|
+3) в ИСПДн обеспечивается автоматизированный контроль связи атрибутов безопасности с персональными данными;
|
|
|
+
|
|
|
+4) в ИСПДн обеспечивается возможность отображения пользователям в удобочитаемом виде атрибутов безопасности (меток безопасности) для каждого из объектов доступа (отображение атрибутов безопасности на экране монитора и (или) при выводе персональных данных на печать на принтере).
|
|
|
+
|
|
|
+Требования к усилению УПД.13:
|
|
|
+
|
|
|
+1) в ИСПДн для мониторинга и контроля удаленного доступа должны применяться автоматизированные средства (дополнительные программные или программно-технические средства);
|
|
|
+
|
|
|
+2) в ИСПДн используется ограниченное (минимально необходимое) количество точек подключения к ИСПДн при организации удаленного доступа к объектам доступа ИСПДн;
|
|
|
+
|
|
|
+3) в ИСПДн исключается удаленный доступ от имени привилегированных учетных записей (администраторов) для администрирования ИСПДн и ее системы защиты персональных данных;
|
|
|
+
|
|
|
+4) в ИСПДн при удаленном доступе обеспечивается применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации;
|
|
|
+
|
|
|
+5) в ИСПДн обеспечивается мониторинг и контроль удаленного доступа на предмет выявления установления несанкционированного соединения технических средств (устройств) с ИСПДн;
|
|
|
+
|
|
|
+6) в ИСПДн должен обеспечиваться запрет удаленного доступа с использованием сетевых технологий и протоколов, определенных оператором по результатам анализа защищенности в соответствии с АНЗ.1 как небезопасных.
|
|
|
+
|
|
|
## Вопросы:
|
|
|
1) Что такое ИСПДн?
|
|
|
|
u19-23nosov