Данный пункт Положения регламентирует порядок взаимодействия структурных подразделений ЦА и ТО Росреестра по обеспечению безопасности ПДн при организации разрешительной системы доступа к сервисам и ресурсам ИСПДн.
Разрешительная система доступа к обрабатываемой в ИСПДн информации предусматривает установление единого порядка обращения со сведениями, содержащими ПДн граждан и работников ЦА/ТО Росреестра (работники), и их носителями, определяет степень ограничения на доступ к данной информации и степень ответственности за сохранность предоставленной информации.
Организация разрешительной системы доступа относится к основным вопросам управления обеспечением безопасности ПДн и включает:
распределение функций управления доступом к данным и их обработкой между должностными лицами;
определение порядка изменения правил доступа к защищаемой информации;
определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;
контроль функционирования разрешительной системы доступа и расследование фактов неправомерного доступа лиц к защищаемой информации в случае выявления таковых;
оценку эффективности проводимых мер по исключению утечки информации;
организацию деятельности должностных лиц, ответственных за подготовку предложений о внесении изменений в должностные обязанности и иные документы, определяющие задачи и функции работников ИСПДн;
разработку внутренних организационно-распорядительных документов, определяющих порядок реализации и функционирования разрешительной системы доступа.
Основные условия правомерного доступа работников к обрабатываемой в ИСПДн информации включают в себя:
подписание работником обязательства о неразглашении конфиденциальной информации (обязательства о неразглашении конфиденциальной информации могут быть включены в трудовой договор, который в соответствии со статьей 57 Трудового кодекса Российской Федерации может содержать эти обстоятельства);
наличие у работника оформленного в установленном порядке права допуска к ПДн, обрабатываемым в ИСПДн ЦА/ТО Росреестра;
наличие утвержденных в соответствии с трудовым законодательством Российской Федерации, законодательством о государственной гражданской службе Российской Федерации должностных (функциональных) обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации.
Лица, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании списка, утвержденного руководителем Росреестра/ЦА Росреестра. Форма списка лиц, допущенных к ПДн, обрабатываемым в ИСПДн, приведена в приложении N 2 к Положению. Права доступа работников к защищаемой информации определяются в Матрице доступа, приведенной в приложении N 3 к Положению.
Для обеспечения персональной ответственности за свои действия каждому работнику ИСПДн, допущенному к работе с защищаемой информацией в ИСПДн, присваивается уникальное имя (учетная запись пользователя), под которым он регистрируется и осуществляет работу в системе. В случае производственной необходимости работнику ИСПДн могут быть присвоены несколько уникальных имен (учетных записей). Использование несколькими работниками при работе в ИСПДн одного и того же имени пользователя ("группового имени") запрещается.
При регистрации и назначении прав доступа работников ИСПДн выполняются следующие требования:
каждому работнику присваивается уникальный идентификатор работника, по которому его можно однозначно идентифицировать;
учетные записи всех работников привязываются к конкретным АРМ, за исключением учетных записей технического персонала, обслуживающего компоненты ИСПДн;
при регистрации работников проводится проверка соответствия уровня доступа возложенным на работника задачам (вмененным обязанностям);
назначенные работнику права доступа документируются;
работник знакомится под роспись с предоставленными ему правами доступа и порядком его осуществления;
в ИСПДн предусматривается разрешение доступа к сервисам только аутентифицированным работникам;
при внесении нового работника разрабатывается и обновляется формальный список всех работников, зарегистрированных для работы в ИСПДн;
при изменении должностных обязанностей (увольнении) работника проводится немедленное исправление (аннулирование) прав его доступа;
при убытии работника в командировку/отпуск, производится временное блокирование учетной записи, на время его отсутствия;
администраторами ИСПДн проводится удаление всех неиспользуемых учетных записей.
Контроль выполнения требований разрешительной системы доступа к ПДн возлагается на администратора ИБ. Подробное описание обязанностей администратора ИБ приведены в приложении N 4 к Положению.