Требования к реализации УПД.4: Оператором должно быть обеспечено разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, в соответствии с их должностными обязанностями (функциями), фиксирование в организационно-распорядительных документах по защите информации (документирование) полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, и санкционирование доступа к объектам доступа в соответствии с разделением полномочий (ролей).
Доступ к объектам доступа с учетом разделения полномочий (ролей) обеспечивается в соответствии с УПД.2.
Требования к усилению УПД.4:
1) оператором должно быть обеспечено выполнение каждой роли по обработке информации, администрированию информационной системы, ее системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы отдельным должностным лицом;
2) оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по обработке информации и полномочиями (ролью) по администрированию информационной системы и (или) ее системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы;
3) оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по контролю (мониторингу) за обеспечением уровня защищенности информации и полномочиями (ролью) по администрированию информационной системы и (или) ее системы защиты информации и обеспечению функционирования информационной системы;
4) оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по администрированию системы защиты информации информационной системы и полномочиями (ролью) по обеспечению функционирования информационной системы;
5) оператором должен быть определен администратор, имеющий права по передаче полномочий по администрированию информационной системы и системы защиты информации другим лицам и осуществляющий контроль за использованием переданных полномочий (супервизор).
Содержание базовой меры УПД.4:
Мера защиты | Класс защищенности информационной системы | |||
информации | 4 | 3 | 2 | 1 |
УПД.4 | + | + | + | |
Усиление УПД.4 | 1 |