Методика. Обозначения и сокращения 4

Название	Обозначения и сокращения 4
Анкор	Методика
Дата	10.01.2023
Размер	4.61 Mb.
Формат файла
Имя файла	Metodika_sostavleniya_CHMU_v_uchrezhdeniyah_Minzdravsotcrazvitiy.doc
Тип	Реферат #879490
страница	5 из 28

1 2 3 4 5 6 7 8 9 ... 28

4Пользователи ИСПДн

В данном разделе вам необходимо составить матрицу доступа. Матрица доступа в табличной форме отражает права всех групп пользователей ИСПДн на действия с персональными данными. Действия (операции) с персональными данными, включают сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных).

Есть три основные группы пользователей ИСПДн (группы описаны в Концепции информационной безопасности):

Администраторы ИСПДн, осуществляющие настройку и установку технических средств ИСПДн и обеспечивающие ее бесперебойную работу;
Разработчики ИСПДн, осуществляющие разработку и поддержку программного обеспечения собственной разработки или стандартных программ, специально доработанных под нужды организации;
Операторы ИСПДн, осуществляющие текущую работу с персональными данными.

Каждая группа может быть уточнена (пример уточнения описан в Политике информационной безопасности), например, может быть две группы Операторов ИСПДн. Первая осуществляет лишь сбор и систематизацию персональных данных, вторая – уточнение, использование и распространение. В матрице доступа должно быть описание всех групп, обладающих правами на определенные действия с ПДн. Должен быть уточнен список разрешенных действий каждой из групп.

Типовая матрица доступа для ИСПДн учреждений Минздравсоцразвития России представлена в таблице 1.

Таблица 1

Типовая роль	Уровень доступа к ПДн	Разрешенные действия
Администратор ИСПДн	Обладает полной информацией о системном и прикладном программном обеспечении ИСПДн. Обладает полной информацией о технических средствах и конфигурации ИСПДн. Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн. Обладает правами конфигурирования и административной настройки технических средств ИСПДн.	сбор систематизация накопление хранение уточнение использование распространение обезличивание блокирование уничтожение
Разработчик ИСПДн	Обладает информацией об алгоритмах и программах обработки информации на ИСПДн. Обладает правами внесения изменений в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения. Располагает всей информаций о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн	систематизация накопление хранение уточнение обезличивание блокирование уничтожение
Оператор ИСПДн	Обладает правами доступа к подмножеству ПДн. Располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системам, через которую он осуществляет доступ, и составе технических средств ИСПДн.	сбор систематизация накопление хранение уточнение использование распространение обезличивание

Должен быть описан порядок предоставления и прекращения доступа тем или иным пользователям. При наступлении, каких событий (прием и увольнение с работы, инициатива или требование руководителя, службы безопасности и т.п.) и на основании каких документов (политик и инструкций) происходит предоставление и прекращение доступа.

Впоследствии сотрудники выявленных групп пользователей, должны быть рассмотрены в качестве потенциальных нарушителей (см. раздел 7.2 на стр. 38).

5Типы ИСПДн

Угрозы безопасности персональных данных (УБПДн) зависят от типа ИСПДн. ИСПДн различают по следующим характеристикам.

1 2 3 4 5 6 7 8 9 ... 28