EASvZI/Лекции/1.5.200_Управление_доступом_субъектов_доступа_к_объектам_доступа/potemkin.md

# Управление доступом субъектов доступа к объектам доступа

Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.

В информационной системе персональных данных (ИСПДн) должно обеспечиваться управление доступом субъектов доступа к объектам доступа, в том числе внутри виртуальных машин, в соответствии с УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13. При реализации мер по управлению доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре должны обеспечиваться:

• контроль доступа субъектов доступа к средствам управления компонентами виртуальной инфраструктуры;
• контроль доступа субъектов доступа к файлам-образам виртуализированного программного обеспечения, виртуальных машин, файлам-образам, служебным данным, используемым для обеспечения работы виртуальных файловых систем, и иным служебным данным средств виртуальной среды;
• управление доступом к виртуальному аппаратному обеспечению ИСПДн, являющимся объектом доступа;
• контроль запуска виртуальных машин на основе заданных оператором персональных данных правил (режима запуска, типа используемого носителя и иных правил). Кроме того, меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать:
• разграничение доступа субъектов доступа, зарегистрированных на виртуальных машинах, к объектам доступа, расположенным внутри виртуальных машин, в соответствии с правилами разграничения доступа пользователей данных виртуальных машин (потребителей облачных услуг);
• разграничение доступа субъектов доступа, зарегистрированных на виртуальных машинах, к ресурсам ИСПДн, размещенным за пределами виртуальных машин, в соответствии с правилами разграничения доступа принятыми в ИСПДн в целом.

Требования к усилению ЗСВ.2:

1) в ИСПДн должен обеспечиваться доступ к операциям, выполняемым с помощью средств управления виртуальными машинами, в том числе к операциям создания, запуска, останова, создания копий, удаления виртуальных машин, который должен быть разрешен только администраторам виртуальной инфраструктуры;

2) в ИСПДн должен обеспечиваться доступ к конфигурации виртуальных машин только администраторам виртуальной инфраструктуры;

3) администратор виртуальной инфраструктуры определяет ограничения по изменению состава устройств виртуальных машин, объема используемой оперативной памяти, подключаемых виртуальных и физических носителей информации;

4) в ИСПДн должен обеспечиваться контроль доступа субъектов доступа к изолированному адресному пространству в памяти гипервизора, в памяти хостовой операционной системы, виртуальных машин и (или) иных объектов доступа.

Требования к усилению УПД.10:

1) в ИСПДн обеспечивается блокирование сеанса доступа пользователя после времени бездействия (неактивности) пользователя: а) до 15 минут; б) до 5 минут;

2) в ИСПДн на устройстве отображения (мониторе) после блокировки сеанса не должна отображаться информация сеанса пользователя (в том числе использование «хранителя экрана», гашение экрана или иные способы);

3) в ИСПДн обеспечивается завершение сеанса пользователя (выхода из системы) после превышения установленного оператором персональных данных времени бездействия (неактивности) пользователя.

УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации Оператором персональных данных должен быть установлен перечень действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации, и запрет действий пользователей, не включенных в перечень разрешенных действий, до прохождения ими процедур идентификации и аутентификации. Разрешение действий пользователей до прохождения ими процедур идентификации и аутентификации осуществляется, в том числе, при предоставлении пользователям доступа к общедоступной информации (веб-сайтам, порталам, иным общедоступным ресурсам). Также администратору разрешаются действия в обход установленных процедур идентификации и аутентификации, необходимые только для восстановления функционирования информационной системы персональных данных в случае сбоев в работе или выходе из строя отдельных технических средств (устройств). Правила и процедуры определения действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации, регламентируются в организационно-распорядительных документах оператора по защите персональных данных.

Требования к усилению УПД.11: Не установлены.

Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки В информационной системе персональных данных (ИСПДн) должны обеспечиваться поддержка (обновление, назначение, изменение) и сохранение атрибутов безопасности (меток безопасности), установленных оператором персональных данных, связанных с персональными данными в процессе их обработки. Атрибуты безопасности (метки безопасности) представляют собой свойства (характеристики) объектов и (или) субъектов доступа, которые используются для контроля доступа субъектов к объектам доступа и управления информационными потоками. Правила и процедуры поддержки и сохранения атрибутов безопасности регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.

Требования к усилению УПД.12:

1) в ИСПДн обеспечивается динамическое изменение атрибутов безопасности в соответствии с организационно-распорядительными документами по защите персональных данных оператора персональных данных в зависимости от процесса обработки персональных данных (формирование, объединение, разделение информационных ресурсов);

2) в ИСПДн допускается изменение атрибутов безопасности только авторизованными пользователям или процессами;

3) в ИСПДн обеспечивается автоматизированный контроль связи атрибутов безопасности с персональными данными;

4) в ИСПДн обеспечивается возможность отображения пользователям в удобочитаемом виде атрибутов безопасности (меток безопасности) для каждого из объектов доступа (отображение атрибутов безопасности на экране монитора и (или) при выводе персональных данных на печать на принтере).

Требования к усилению УПД.13:

1) в ИСПДн для мониторинга и контроля удаленного доступа должны применяться автоматизированные средства (дополнительные программные или программно-технические средства);

2) в ИСПДн используется ограниченное (минимально необходимое) количество точек подключения к ИСПДн при организации удаленного доступа к объектам доступа ИСПДн;

3) в ИСПДн исключается удаленный доступ от имени привилегированных учетных записей (администраторов) для администрирования ИСПДн и ее системы защиты персональных данных;

4) в ИСПДн при удаленном доступе обеспечивается применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации;

5) в ИСПДн обеспечивается мониторинг и контроль удаленного доступа на предмет выявления установления несанкционированного соединения технических средств (устройств) с ИСПДн;

6) в ИСПДн должен обеспечиваться запрет удаленного доступа с использованием сетевых технологий и протоколов, определенных оператором по результатам анализа защищенности в соответствии с АНЗ.1 как небезопасных.

Вопросы:

1) Что такое ИСПДн?

2) Что должно обеспечиваться в информационной системе персональных данных?

3) Какие функции выполняет администратор виртуальной инфраструктуры?

Список литературы

https://fstec21.blogspot.com/2017/08/access-control-subjects-access-objects.html