Приложение № 1
К приказу МБУ СШ № 3 г. Ставрополя
от «___» __________ 2021 г. № ______
ПОЛОЖЕНИЕ
о разрешительной системе доступа в
информационных системах персональных данных МБУ СШ № 3 г. Ставрополя
- Термины и определения
- Дискреционный метод управления доступом –метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе идентификационной информации субъекта и для каждого объекта доступа – списка, содержащего набор субъектов доступа (групп субъектов) и ассоциированных с ними типов доступа.
- Доступ к информации — ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.
- Матрица доступа – таблица, отображающая правила разграничения доступа.
- Объект доступа – единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
- Правила разграничения доступа– совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
- Ролевой метод управления доступом – метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе ролей субъектов доступа.
- Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.
- Субъект доступа – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
- Типы доступа – операции, разрешенные к выполнению субъектом доступа при доступе к объектам доступа.
- Общие положения
- Настоящее Положение о разрешительной системе доступа в информационных системах персональных данных ГБУ ДО «КЦЭТК» (далее – Положение), разработано в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативно-методическими документами федеральных органов исполнительной власти по вопросам безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн).
- Настоящее Положение определяет методы управления доступом, типы доступа и правила разграничения доступа субъектов доступа к объектам доступа в ИСПДн.
- Положение обязательно для исполнения всеми работниками МБУ СШ № 3 г. Ставрополя (далее –Учреждение), непосредственно осуществляющими защиту ПДн.
- Субъекты и объекты доступа
- К субъектам доступа ИСПДн, относятся работники, выполняющие свои должностные обязанности (функции) с использованием информации, информационных технологий и технических средств ИСПДн в соответствии с должностными инструкциями и которым в ИСПДн присвоены учетные записи.
- К объектам доступа в ИСПДн, относятся:
- средства вычислительной техники;
- средства связи и передачи данных;
- средства обеспечения бесперебойной работы средств вычислительной техники и средств связи и передачи данных;
- основные конфигурационные файлы операционных систем, средств связи и передачи данных и средств защиты информации (далее – СЗИ);
- средства настройки и управления операционной системой, средств связи и передачи данных и СЗИ;
- прикладное программное обеспечение;
- периферийные устройства;
- машинные носители информации;
- обрабатываемые, хранимые данные.
- Методы разграничения доступа
- Методы разграничения доступа к ИСПДн реализуются в соответствии с особенностями функционирования ИСПДн и включают комбинацию следующих методов:
- ролевой метод управления доступом;
- дискреционный метод управления доступом.
- Реализация ролевого метода управления доступом в ИСПДн представлена в таблице 1.
Таблица 1
| № п/п | Роль субъекта доступа | Уровень доступа к объектам доступа |
| 1 | Администратор безопасности | обладает полной информацией о конфигурации системы защиты ПДн (структуре системы защиты ПДн, составе, местах установки и параметров настройки СЗИ);обладает полной информацией о конфигурации ИСПДн (структуре ИСПДн, состава, мест установки и параметров программного обеспечения и технических средств);обладает правами настройки и конфигурирования СЗИ;обладает правами настройки и конфигурирования средств связи передачи данных;обладает правами настройки и конфигурирования операционных систем и прикладного программного обеспечения;обладает правами внесения изменений в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения. |
| 2 | Администратор | обладает полной информацией о конфигурации ИСПДн (структуре ИСПДн, составе, местах установки и параметров программного обеспечения и технических средств);обладает правами настройки и конфигурирования средств связи передачи данных;обладает правами настройки и конфигурирования операционных систем и прикладного программного обеспечения;обладает правами внесения изменений в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения. |
| 3 | Пользователь | обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ к ИСПДн. |
- Реализация дискреционного метода управления доступом достигается путем назначения прав доступа для каждой пары «Роль субъекта доступа» – «Объект доступа» явного и недвусмысленного перечисления допустимых типов доступа в соответствии с Матрицей доступа работников к ресурсам информационных систем персональных данных (далее – Матрица доступа),форма которой установлена в Приложении к настоящему Положению.
- Типы доступа
- В ИСПДн определены следующие типы доступа субъектов доступа к объектам доступа:
- чтение (R) – субъекту доступа разрешено просматривать содержимое объекта доступа;
- запись (W) – субъекту доступа разрешено просматривать, записывать и создавать новый объект доступа;
- выполнение (E) – субъекту доступа разрешено запускать/выполнять объект доступа;
- печать (P) – субъекту доступа разрешена печать;
- сканирование (S) – субъекту доступа разрешено сканирование;
- полный (F) – субъект доступа имеет полный доступ к объектам доступа.
- Разрешенные к выполнению, субъектами доступа при доступе к объектам доступа в ИСПДн, типы доступа, определены в Матрице доступа.
- Правила разграничения доступа
- В ИСПДн правила разграничения доступа реализованы совокупностью правил, регламентирующих порядок и условия доступа субъекта к объектам доступа в ИСПДн:
- разделение обязанностей и назначение минимально необходимых прав пользователям и администраторам;
- управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей ИСПДн;
- управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками вИСПДн;
- ограничение неуспешных попыток доступа в ИСПДн;
- разрешение (запрет) действий пользователей ИСПДн, разрешенных до идентификации и аутентификации;
- реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети;
- контроль использования в ИСПДн технологий беспроводного доступа;
- контроль использования в ИСПДн мобильных технических средств;
- управление взаимодействием с ИСПДн организаций (внешние информационные системы).
- Права и обязанности пользователей зафиксированы в «Инструкции пользователя информационных систем персональных данных МБУ СШ № 3 г. Ставрополя.
- Права и обязанности администратора зафиксированы в «Инструкции администратора информационных систем персональных данных МБУ СШ № 3 г. Ставрополя.
- Права и обязанности администратора безопасности зафиксированы в «Инструкции ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных МБУ СШ № 3 г. Ставрополя».
- Управление (заведение, активацию, блокирование и уничтожение) учетными записями пользователей ИСПДн, осуществляет администратор ИСПДн.
- Администратор ИСПДн определяет и назначает права доступа субъектов к объектам доступа в ИСПДн в соответствии с исполняемой ролью субъекта в ИСПДн и Матрицей доступа.
- ВИСПДн реализованы следующие функции управления учетными записями пользователей ИСПДн:
- определение типа учетной записи (пользователь, администратор, системная);
- объединение учетных записей в группы (пользователи, администраторы);
- верификация пользователя при заведении учетной записи пользователя;
- заведение, активация, блокирование и уничтожение учетных записей пользователей ИСПДн;
- пересмотр и корректировка учетных записей пользователей ИСПДн;
- порядок заведения и контроля использования временных учетных записей Пользователей ИСПДн;
- оповещение администратора ИСПДн, осуществляющего управление учетными записями пользователей ИСПДн, об изменении сведений о пользователях ИСПДн, их ролях, обязанностях, полномочиях, ограничениях;
- уничтожение временных учетных записей пользователей ИСПДн, предоставленных для однократного (ограниченного по времени) выполнения задач в ИСПДн;
- предоставление пользователям ИСПДн прав доступа к объектам доступа ИСПДн, основываясь на задачах, решаемых пользователями ИСПДн.
- Временная учетная запись может быть заведена для пользователя ИСПДн на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям ИСПДн с временным доступом к ИСПДн).
- В ИСПДн осуществляется автоматическое блокирование временных учетных записей Пользователей ИСПДн по окончании установленного периода времени для их использования.
- При передаче информации между устройствами, сегментами в рамках ИСПДн, осуществляется управление информационными потоками, включающее:
- фильтрацию информационных потоков в соответствии с правилами управления потоками;
- разрешение передачи информации в ИСПДн только по установленному маршруту;
- изменение (перенаправление) маршрута передачи информации только в установленных случаях;
- запись во временное хранилище информации для анализа и принятия решения о возможности ее дальнейшей передачи в установленных случаях.
- Управление информационными потоками обеспечивает разрешенный маршрут прохождения информации между пользователями ИСПДн, устройствами, сегментами в рамках ИСПДн, а также при взаимодействии с сетью Интернет (или другими информационно-телекоммуникационными сетями международного информационного обмена) на основе правил управления информационными потоками, включающих контроль конфигурации ИСПДн, источника и получателя передаваемой информации, структуры передаваемой информации, характеристик информационных потоков и (или) канала связи (без анализа содержания информации).
- Управление информационными потоками блокирует передачу защищаемой информации через сеть Интернет (или другие информационно-телекоммуникационные сети международного информационного обмена) по незащищенным линиям связи, сетевые запросы и трафик, не санкционированно исходящие из ИСПДн и (или) входящие в ИСПДн.
- В ИСПДн установлено и зафиксировано в «Инструкции по парольной защите информации в ГБУ ДО «КЦЭТК»:
- количество неуспешных попыток входа (доступа) ИСПДн за установленный период времени;
- блокирование сеанса доступа пользователя ИСПДн после установленного времени его бездействия (неактивности).
- В ИСПДн обеспечивается блокирование сеанса доступа пользователя ИСПДн по запросу.
- Для заблокированного сеанса осуществляется блокирование любых действий по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса.
- Администратору ИСПДн и ответственному за обеспечение безопасности ПДн в ИСПДн разрешаются действия в обход установленных процедур идентификации и аутентификации, необходимые только для восстановления функционирования ИСПДн в случае сбоев в работе или выходе из строя отдельных технических средств (устройств).
- Регламентация и контроль использования съемных машинных носителей ПДн, описаны в «Порядке обращения со съемными машинными носителями персональных данных в МБУ СШ № 3 г. Ставрополя.
- В ИСПДн при взаимодействии с внешними информационными системами, взаимодействие с которыми необходимо для функционирования ИСПДн, предоставление доступа к ИСПДн осуществляется только авторизованным (уполномоченным) пользователям ИСПДн в соответствии с Матрицей доступа.
- Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно.
- Настоящее Положение подлежит пересмотру не реже одного раза в три года.
- Изменения и дополнения в настоящее Положение вносятся приказом Директора Учреждения.
Приложение
к Положению о разрешительной системе доступа
в информационных системах персональных данных
МБУ СШ № 3 г. Ставрополя
ФОРМА
Матрица доступа работников к ресурсам информационных систем персональных данных
МБУ СШ № 3 г. Ставрополя
| Субъект доступа | Объект доступа | ||||||||
| Основные конфигурационные файлы операционной системы | Средства настройки и управления операционной системой | Основные конфигурационные файлы средств защиты информации | Средства настройки и управления средств защиты информации | Прикладное программное обеспечение | Периферийные устройства | Съемные машинные носители информации | Обрабатываемые, хранимые данные | Настройки BIOS / UEFI | |
| Администратор | |||||||||
| Администратор безопасности | |||||||||
| Пользователь |
Типы доступа:
- чтение (R) – субъекту доступа разрешено просматривать содержимое объекта доступа;
- запись (W) – субъекту доступа разрешено просматривать, записывать и создавать новый объект доступа;
- выполнение (E) — субъекту доступа разрешено запускать/выполнять объект доступа;
- печать (P) – субъекту доступа разрешена печать;
- сканирование (S) – субъекту доступа разрешено сканирование;
- полный (F) – субъект доступа имеет полный доступ к объектам доступа.
Приложение № 2
К приказу МБУ СШ № 3 г. Ставрополя
от «___» __________ 2021 г. № ______
Матрица доступа
субъектов к ресурсам информационных систем персональных данных
МБУ СШ № 3 г. Ставрополя
| Субъект доступа | Объект доступа | ||||||||
| Основные конфигурационные файлы операционной системы | Средства настройки и управления операционной системой | Основные конфигурационные файлы средств защиты информации | Средства настройки и управления средств защиты информации | Прикладное программное обеспечение | Периферийные устройства | Съемные машинные носители информации | Обрабатываемые, хранимые данные | Настройки BIOS / UEFI | |
| Администратор | F | F | — | — | F | P/S | — | — | F |
| Администратор безопасности | F | F | F | F | F | P/S | F | F | F |
| Пользователь | R-E | — | — | — | R-E | P/S | F | F | — |
Типы доступа:
- чтение (R) – субъекту доступа разрешено просматривать содержимое объекта доступа;
- запись (W) – субъекту доступа разрешено просматривать, записывать и создавать новый объект доступа;
- выполнение (E) — субъекту доступа разрешено запускать/выполнять объект доступа;
- печать (P) – субъекту доступа разрешена печать;
- сканирование (S) – субъекту доступа разрешено сканирование;
- полный (F) – субъект доступа имеет полный доступ к объектам доступа.
ЛИСТ ОЗНАКОМЛЕНИЯ
С приказом МБУ СШ № 3 г. Ставрополя от «___» ________ 2021 г. № ______
«О разрешительной системе доступа»
| № п/п | Фамилия имя отчество | Должность | Дата ознакомления | Подпись |
| 1 | «___» ___ 20__ г. | |||
| 2 | «___» ___ 20__ г. | |||
| 3 | «___» ___ 20__ г. | |||
| 4 | «___» ___ 20__ г. | |||
| 5 | «___» ___ 20__ г. | |||
| 6 | «___» ___ 20__ г. | |||
| 7 | «___» ___ 20__ г. | |||
| 8 | «___» ___ 20__ г. | |||
| 9 | «___» ___ 20__ г. | |||
| 10 | «___» ___ 20__ г. | |||
| 11 | «___» ___ 20__ г. | |||
| 12 | «___» ___ 20__ г. | |||
| 13 | «___» ___ 20__ г. | |||
| 14 | «___» ___ 20__ г. | |||
| 15 | «___» ___ 20__ г. | |||
| 16 | «___» ___ 20__ г. | |||
| 17 | «___» ___ 20__ г. | |||
| 18 | «___» ___ 20__ г. | |||
| 19 | «___» ___ 20__ г. | |||
| 20 | «___» ___ 20__ г. |