Оператором персональных данных должно быть обеспечено
разделение полномочий (ролей) пользователей, администраторов и лиц,
обеспечивающих функционирование информационной системы персональных данных (ИСПДн), в соответствии
с их должностными обязанностями (функциями), фиксирование в
организационно-распорядительных документах по защите персональных данных (документирование) полномочий (ролей) пользователей, администраторов и
лиц, обеспечивающих функционирование ИСПДн, и
санкционирование доступа к объектам доступа в соответствии с разделением
полномочий (ролей).
Доступ к объектам доступа с учетом разделения полномочий (ролей)
обеспечивается в соответствии с УПД.2.
Требования к усилению УПД.4:
1) оператором персональных данных должно быть обеспечено выполнение каждой роли по
обработке персональных данных, администрированию ИСПДн, ее системы защиты персональных данных, контролю (мониторингу) за обеспечением
уровня защищенности персональных данных, обеспечению функционирования
ИСПДн отдельным должностным лицом;
2) оператором персональных данных должно быть обеспечено исключение наделения одного
должностного лица полномочиями (ролью) по обработке персональных данных и
полномочиями (ролью) по администрированию ИСПДн и
(или) ее системы защиты персональных данных, контролю (мониторингу) за
обеспечением уровня защищенности персональных данных, обеспечению
функционирования ИСПДн;
3) оператором персональных данных должно быть обеспечено исключение наделения одного
должностного лица полномочиями (ролью) по контролю (мониторингу) за
обеспечением уровня защищенности персональных данных и полномочиями (ролью) по
администрированию ИСПДн и (или) ее системы защиты
персональных данных и обеспечению функционирования ИСПДн;
4) оператором персональных данных должно быть обеспечено исключение наделения одного
должностного лица полномочиями (ролью) по администрированию системы
защиты персональных данных ИСПДн и полномочиями (ролью) по
обеспечению функционирования ИСПДн;
5) оператором персональных данных должен быть определен администратор, имеющий права по
передаче полномочий по администрированию ИСПДн и
системы защиты персональных данных другим лицам и осуществляющий контроль за
использованием переданных полномочий (супервизор).
Содержание базовой меры УПД.4:
| Мера защиты персональных данных | Уровень защищенности персональных данных | |||
| 4 | 3 | 2 | 1 | |
| УПД.4 | + | + | + | + |
| Усиление УПД.4 | 1 | |||