Положение о разрешительной системе доступа к персональным данным

Опубликовано на сайте

19 февраля 2024

Скачать Хочу такой сайт

Посмотреть 

СОГЛАСОВАНО
на заседании педагогического совета
МБОУ г. Керчи РК
СШ№1 им.В.Дубинина
(протокол № 17 от 11.09.2023 г.)

УТВЕРЖДЕНО
Директор МБОУ г. Керчи
РК СШ №1 им.В.Дубинина
_________ Е.А.Левкович
(приказом № 534 от 11.09.2023 г.)
Локальный акт № 58

ПОЛОЖЕНИЕ
О РАЗРЕШИТЕЛЬНОЙ СИСТЕМЕ ДОСТУПА В
ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
в Муниципальном бюджетном общеобразовательном учреждении города Керчи Республики
Крым «Специализированная школа №1 с углубленным изучением английского языка
имени Володи Дубинина»
1. Термины и определения
1.1. Дискреционный метод управления доступом –метод управления доступом,
предусматривающий управление доступом субъектов доступа к объектам доступа на основе
идентификационной информации субъекта и для каждого объекта доступа – списка, содержащего
набор субъектов доступа (групп субъектов) и ассоциированных с ними типов доступа.
1.2. Доступ к информации - ознакомление с информацией, ее обработка, в частности
копирование, модификация или уничтожение информации.
1.3. Матрица доступа – таблица, отображающая правила разграничения доступа.
1.4. Объект доступа – единица информационного ресурса автоматизированной системы,
доступ к которой регламентируется правилами разграничения доступа.
1.5. Правила разграничения доступа– совокупность правил, регламентирующих права доступа
субъектов доступа к объектам доступа.
1.6. Ролевой метод управления доступом – метод управления доступом, предусматривающий
управление доступом субъектов доступа к объектам доступа на основе ролей субъектов доступа.
1.7. Средство защиты информации – программное обеспечение, программно-аппаратное
обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое
для защиты информации.
1.8. Субъект доступа – лицо или процесс, действия которого регламентируются правилами
разграничения доступа.
1.9. Типы доступа – операции, разрешенные к выполнению субъектом доступа при доступе к
объектам доступа.
2. Общие положения
2.1.
Настоящее Положение о разрешительной системе доступав информационных системах
персональных данных в Муниципальном бюджетном общеобразовательном учреждении города
Керчи Республики Крым «Специализированная школа №1 с углубленным изучением английского
языка имени Володи Дубинина» (далее – Положение), разработано в соответствии с
законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативнометодическими документами федеральных органов исполнительной власти по вопросам
безопасности ПДн при их обработке в информационных системах персональных данных (далее –
ИСПДн).

2.2.
Настоящее Положение определяетметоды управления доступом, типы доступа и
правила разграничения доступа субъектов доступа к объектам доступа в ИСПДн.
2.3.
Положение обязательно для исполнения всеми работникамив Муниципальном
бюджетном
общеобразовательном
учреждении
города
Керчи
Республики
Крым
«Специализированная школа №1 с углубленным изучением английского языка имени Володи
Дубинина» (далее –Учреждение), непосредственно осуществляющими защиту ПДн.
3. Субъекты и объекты доступа
3.1. К субъектам доступа ИСПДн, относятся работники, выполняющие свои должностные
обязанности (функции) с использованием информации, информационных технологий и технических
средств ИСПДн в соответствии с должностными инструкциями и которым в ИСПДнприсвоены
учетные записи.
3.2. К объектам доступа в ИСПДн, относятся:
 средства вычислительной техники;
 средства связи и передачи данных;
 средства обеспечения бесперебойной работы средств вычислительной техники и средств
связи и передачи данных;
 основные конфигурационные файлы операционных систем, средств связи и передачи
данных и средств защиты информации (далее – СЗИ);
 средства настройки и управления операционной системой, средств связи и передачи
данных и СЗИ;
 прикладное программное обеспечение;
 периферийные устройства;
 машинные носители информации;
 обрабатываемые, хранимые данные.
Методы разграничения доступа

4.

4.1. Методы разграничения доступа к ИСПДн реализуются в соответствии с особенностями
функционирования ИСПДн и включают комбинацию следующих методов:
 ролевой метод управления доступом;
 дискреционный метод управления доступом.
4.2. Реализацияролевого метода управления доступом в ИСПДнпредставлена в таблице 1.
Таблица 1
№
п/п

Роль субъекта доступа

Уровень доступа к объектам доступа
-

-

1

Администратор
безопасности

-

обладает полной информацией о конфигурации системы защиты
ПДн (структуре системы защиты ПДн, составе, местах установки и
параметров настройки СЗИ);
обладает полной информацией о конфигурации ИСПДн (структуре
ИСПДн, состава, мест установки и параметров программного
обеспечения и технических средств);
обладает правами настройки и конфигурирования СЗИ;
обладает правами настройки и конфигурирования средств связи
передачи данных;
обладает правами настройки и конфигурирования операционных
систем и прикладного программного обеспечения;
обладает правами внесения изменений в программное обеспечение
ИСПДн на стадии ее разработки, внедрения и сопровождения.
2

№
п/п

Роль субъекта доступа

Уровень доступа к объектам доступа
-

-

2

Администратор
-

3

Пользователь

-

обладает полной информацией о конфигурации ИСПДн (структуре
ИСПДн, составе, местах установки и параметров программного
обеспечения и технических средств);
обладает правами настройки и конфигурирования средств связи
передачи данных;
обладает правами настройки и конфигурирования операционных
систем и прикладного программного обеспечения;
обладает правами внесения изменений в программное обеспечение
ИСПДн на стадии ее разработки, внедрения и сопровождения.
обладает всеми
необходимыми
атрибутами и
правами,
обеспечивающими доступ к ИСПДн.

4.3. Реализация дискреционного метода управления доступом достигается путем назначения
прав доступа для каждой пары «Роль субъекта доступа» – «Объект доступа» явного и
недвусмысленного перечисления допустимых типов доступа в соответствии с Матрицей доступа
работников кресурсаминформационных систем персональных данных (далее – Матрица
доступа),форма которой установлена в Приложении к настоящему Положению.
5. Типы доступа
5.1. В ИСПДн определены следующие типы доступа субъектов доступа к объектам доступа:
 чтение (R) – субъекту доступа разрешено просматривать содержимое объекта доступа;
 запись (W) – субъекту доступа разрешено просматривать, записывать и создавать новый
объект доступа;
 выполнение (E) – субъекту доступа разрешено запускать/выполнять объект доступа;
 печать (P) – субъекту доступа разрешена печать;
 сканирование (S) – субъекту доступа разрешено сканирование;
 полный (F) – субъект доступа имеет полный доступ к объектам доступа.
5.2. Разрешенные к выполнению, субъектами доступа при доступе к объектам доступа в
ИСПДн, типы доступа, определены в Матрице доступа.

6. Правила разграничения доступа
6.1. В ИСПДн правила разграничения доступа реализованы совокупностью правил,
регламентирующих порядок и условия доступа субъекта к объектам доступа в ИСПДн:
 разделение обязанностей и назначение минимально необходимых прав пользователям и
администраторам;
 управление (заведение, активация, блокирование и уничтожение) учетными записями
пользователей ИСПДн;
 управление (фильтрация, маршрутизация, контроль соединений, однонаправленная
передача и иные способы управления) информационными потоками в ИСПДн;
 ограничение неуспешных попыток доступа в ИСПДн;
 разрешение (запрет) действий пользователей ИСПДн, разрешенных до идентификации и
аутентификации;
 реализация защищенного удаленного доступа субъектов доступа к объектам доступа через
внешние информационно-телекоммуникационные сети;
 контроль использования в ИСПДн технологий беспроводного доступа;
3




контроль использования в ИСПДн мобильных технических средств;
управление взаимодействием с ИСПДн организаций (внешние информационные
системы).
6.2. Права и обязанности пользователей зафиксированы в «Инструкциипользователя
информационных систем персональных данных Учреждения».
6.3. Права и обязанности администратора зафиксированы в «Инструкции администратора
информационных систем персональных данных Учреждения».
6.4. Права и обязанности администратора безопасности зафиксированы в «Инструкции
ответственного за обеспечение безопасности персональных данных в информационных системах
персональных данных Учреждения».
6.5. Управление (заведение, активацию, блокирование и уничтожение) учетными
записямипользователей ИСПДн, осуществляет администратор ИСПДн.
6.6. АдминистраторИСПДн определяет и назначает права доступа субъектов к объектам
доступа в ИСПДн в соответствии с исполняемой ролью субъекта в ИСПДн и Матрицей доступа.
6.7. В ИСПДн реализованы следующие функции управления учетными записями
пользователей ИСПДн:
 определение типа учетной записи (пользователь, администратор, системная);
 объединение учетных записей в группы (пользователи, администраторы);
 верификация пользователя при заведении учетной записи пользователя;
 заведение, активация, блокирование и уничтожение учетных записей пользователей
ИСПДн;
 пересмотр и корректировка учетных записей пользователей ИСПДн;
 порядок заведения и контроля использования временных учетных записей
ПользователейИСПДн;
 оповещение администратора ИСПДн, осуществляющего управление учетными записями
пользователей ИСПДн, об изменении сведений о пользователях ИСПДн, их ролях,
обязанностях, полномочиях, ограничениях;
 уничтожение временных учетных записей пользователей ИСПДн, предоставленных для
однократного (ограниченного по времени) выполнения задач в ИСПДн;
 предоставление пользователям ИСПДн прав доступа к объектам доступа ИСПДн,
основываясь на задачах, решаемых пользователями ИСПДн.
6.8. Временная учетная запись может быть заведена для пользователя ИСПДн на
ограниченный срок для выполнения задач, требующих расширенных полномочий, или для
проведения настройки, тестирования, для организации гостевого доступа (посетителям, сотрудникам
сторонних организаций, стажерам и иным пользователямИСПДн с временным доступом к ИСПДн).
6.9. В ИСПДн осуществляется автоматическое блокирование временных учетных записей
ПользователейИСПДн по окончании установленного периода времени для их использования.
6.10. При передаче информации между устройствами, сегментами в рамках ИСПДн,
осуществляется управление информационными потоками, включающее:
 фильтрацию информационных потоков в соответствии с правилами управления потоками;
 разрешение передачи информации в ИСПДнтолько по установленному маршруту;
 изменение (перенаправление) маршрута передачи информации только в установленных
случаях;
 запись во временное хранилище информации для анализа и принятия решения о
возможности ее дальнейшей передачи в установленных случаях.
4

6.11. Управление информационными потоками обеспечивает разрешенный маршрут
прохождения информации между пользователями ИСПДн, устройствами, сегментами в рамках
ИСПДн, а также при взаимодействии с сетью Интернет (или другими информационнотелекоммуникационными сетями международного информационного обмена) на основе правил
управления информационными потоками, включающих контроль конфигурации ИСПДн, источника
и получателя передаваемой информации, структуры передаваемой информации, характеристик
информационных потоков и (или) канала связи (без анализа содержания информации).
6.12. Управление информационными потоками блокирует передачу защищаемой информации
через сеть Интернет (или другие информационно-телекоммуникационные сети международного
информационного обмена) по незащищенным линиям связи, сетевые запросы и трафик, не
санкционированно исходящие из ИСПДн и (или) входящие вИСПДн.
6.13. В ИСПДн установлено и зафиксировано в «Инструкции по парольной защите
информации в Учреждении:
 количество неуспешных попыток входа (доступа)ИСПДн за установленный период
времени;
 блокирование сеанса доступа пользователя ИСПДн после установленного времени его
бездействия (неактивности).
6.14. В ИСПДн обеспечивается блокирование сеанса доступа пользователя ИСПДн по запросу.
6.15. Для заблокированного сеанса осуществляется блокирование любых действий по доступу к
информации и устройствам отображения, кроме необходимых для разблокирования сеанса.
6.16. АдминистраторуИСПДн и ответственному за обеспечение безопасности ПДн в ИСПДн
разрешаются действия в обход установленных процедур идентификации и аутентификации,
необходимые только для восстановления функционирования ИСПДн в случае сбоев в работе или
выходе из строя отдельных технических средств (устройств).
6.17. Регламентация и контроль использования съемных машинных носителей ПДн, описаны в
«Порядке обращения со съемными машинными носителями персональных данных в Учреждении».
6.18. В ИСПДн при взаимодействии с внешними информационными системами,
взаимодействие с которыми необходимо для функционирования ИСПДн, предоставление доступа к
ИСПДн осуществляется только авторизованным (уполномоченным) пользователям ИСПДн в
соответствии с Матрицей доступа.
7.

Ответственность

7.1. Все работники Учреждения, осуществляющие обработку и защиту ПДн обязаны
ознакомиться с данным Положением под подпись.
7.2. Работники Учреждения несут персональную ответственность за выполнение требований
настоящего Положения.
7.3. Контроль выполнения работниками Учреждения правил разграничения доступа в ИСПДн
осуществляется Ответственным за обеспечение безопасности ПДн в ИСПДн.
8.

Срок действия и порядок внесения изменений

8.1. Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно.
8.2. Настоящее Положение подлежит пересмотру не реже одного раза в три года.
8.3. Изменения
и
дополнения
в
настоящее
Положение
вносятся
приказом
ДиректораУчреждения.

5

Приложение
к Положению о разрешительной
системе доступа в
информационных системах
персональных данных
ФОРМА
Матрица доступа работников к ресурсам информационных систем персональных данных
в Муниципальном бюджетном общеобразовательном учреждении города Керчи Республики Крым «Специализированная школа №1
с углубленным изучением английского языка имени Володи Дубинина»
Объект доступа
Субъект
доступа

Средства
Основные
Средства
Основные
настройки и
Съемные
Прикладное
конфигурационн настройки и конфигурационн управления
машинные Обрабатываемы Настройки
программно Периферийны
ые файлы
управления ые файлы средств средств
носители е, хранимые
BIOS /
е
е устройства
операционной операционно
защиты
защиты
информаци
данные
UEFI
обеспечение
системы
й системой
информации информаци
и
и

Администрат
ор
Администрат
ор
безопасности
Пользователь
Типы доступа:
 чтение (R) – субъекту доступа разрешено просматривать содержимое объекта доступа;
 запись (W) – субъекту доступа разрешено просматривать, записывать и создавать новый объект доступа;
 выполнение (E) - субъекту доступа разрешено запускать/выполнять объект доступа;
 печать (P) – субъекту доступа разрешена печать;
 сканирование (S) – субъекту доступа разрешено сканирование;
 полный (F) – субъект доступа имеет полный доступ к объектам доступа.
6

Приложение 2
к приказу
от «___» __________ 202__ г. №
______
Матрица доступа
субъектов к ресурсам информационных систем персональных данных
наименование учреждения
Объект доступа

Субъект
доступа

Администрато
р
Администрато
р
безопасности
Пользователь

Средства
настройки
Основные
Средства
Основные
Съемные
и
Прикладное
конфигурационны настройки и конфигурационны
машинные Обрабатываемы Настройк
управления программно Периферийны
е файлы
управления е файлы средств
носители
е, хранимые и BIOS /
средств
е
е устройства
операционной операционно
защиты
информаци
данные
UEFI
защиты обеспечение
системы
й системой
информации
и
информаци
и
F

F

-

-

F

P/S

-

-

F

F

F

F

F

F

P/S

F

F

F

R-E

-

-

-

R-E

P/S

F

F

-

Типы доступа:
 чтение (R) – субъекту доступа разрешено просматривать содержимое объекта доступа;
 запись (W) – субъекту доступа разрешено просматривать, записывать и создавать новый объект доступа;
 выполнение (E) - субъекту доступа разрешено запускать/выполнять объект доступа;
 печать (P) – субъекту доступа разрешена печать;
 сканирование (S) – субъекту доступа разрешено сканирование;
 полный (F) – субъект доступа имеет полный доступ к объектам доступа.
7

ЛИСТ ОЗНАКОМЛЕНИЯ
с приказом в Муниципальном бюджетном общеобразовательном учреждении города
Керчи Республики Крым «Специализированная школа №1 с углубленным изучением
английского языка имени Володи Дубинина» от «___» ____________ 202__ г. № ______
«О разрешительной системе доступа»
№
п/п
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

Фамилия имя отчество

Должность

Дата
ознакомления
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.
«___» ___
20__ г.

Подпись

8

Ссылки

Наверх
На сайте используются файлы cookie. Продолжая использование сайта, вы соглашаетесь на обработку своих персональных данных. Подробности об обработке ваших данных — в политике конфиденциальности.

Функционал «Мастер заполнения» недоступен с мобильных устройств.
Пожалуйста, воспользуйтесь персональным компьютером для редактирования информации в «Мастере заполнения».