Что такое порядок доступа

Приложение N 2. Порядок доступа сотрудников, федеральных государственных гражданских служащих и работников системы МВД России в помещения, в которых ведется обработка персональных данных

Приложение N 2
к приказу МВД России
от 21.12.2017 N 949

Порядок
доступа сотрудников, федеральных государственных гражданских служащих и работников системы МВД России в помещения, в которых ведется обработка персональных данных

1. Настоящий Порядок устанавливает единые требования к организации и осуществлению доступа сотрудников, федеральных государственных гражданских служащих и работников системы МВД России в помещения, в которых ведется обработка персональных данных, в том числе в информационных системах, в целях предотвращения нарушения прав субъектов персональных данных.

2 _{Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626; 2013, N 30, ст. 4116; 2014, N 37, ст. 4967.}

3 _{Зарегистрирован в Минюсте России 31 мая 2013 года, регистрационный N 28608; Российская газета, 2013, N 136; с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 (зарегистрирован в Минюсте России 14 марта 2017 года, регистрационный N 45933; Официальный интернет-портал правовой информации http://www.pravo.gov.ru, 15.03.2017).}

4 _{Зарегистрирован в Минюсте России 18 августа 2014 года, регистрационный N 33620; Российская газета, 2014, N 211.}

5. На момент присутствия посторонних лиц в помещении ПДн должны быть приняты меры по недопущению ознакомления посторонних лиц с персональными данными.

6. Бесконтрольный доступ посторонних лиц в помещения ПДн должен быть исключен.

7. Для помещений ПДн должен быть организован режим обеспечения безопасности, при котором обеспечивается сохранность носителей информации, содержащих персональные данные, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. Данный режим должен обеспечиваться в том числе:

запиранием помещения ПДн на ключ, в частности, при выходе из него в рабочее время;

закрытием металлических шкафов и сейфов, где хранятся носители информации, содержащие персональные данные, на время отсутствия в помещении сотрудников МВД России, замещающих должности согласно Перечню.

Источник

порядок доступа

Смотреть что такое «порядок доступа» в других словарях:

Порядок принятия решения о предоставлении водного объекта в пользование — система следующих последовательных действий: а) физическое лицо, юридическое лицо, заинтересованные в получении водного объекта или его части, находящихся в федеральной собственности, собственности субъекта РФ, собственности муниципального… … Экологическое право России: словарь юридических терминов

Права доступа (к информации) — совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и её носителям, установленных правовыми документами или собственником, владельцем информации. Права доступа определяют набор действий (например, чтение, запись … Википедия

Правило доступа к информации — Права доступа (к информации) совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и её носителям, установленных правовыми документами или собственником, владельцем информации. Права доступа определяют набор… … Википедия

Права доступа — Права доступа совокупность правил, регламентирующих порядок и условия доступа субъекта к объектам информационной системы (информации, её носителям, процессам и другим ресурсам) установленных правовыми документами или собственником,… … Википедия

Право доступа к информации — Права доступа (к информации) совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и её носителям, установленных правовыми документами или собственником, владельцем информации. Права доступа определяют набор… … Википедия

Контроль доступа на основе ролей — Содержание 1 Введение 2 История 3 Базовая модель RBAC 4 Возможности и применение … Википедия

Ролевое разграничение доступа — Содержание 1 Введение 2 История 3 Базовая модель RBAC 4 Возможности и применение … Википедия

МИ 3017-2006: Государственная система обеспечения единства измерений. Игровые автоматы с денежным выигрышем. Методы и порядок проведения экспертизы игровых программ с целью обнаружения в них недекларированных возможностей — Терминология МИ 3017 2006: Государственная система обеспечения единства измерений. Игровые автоматы с денежным выигрышем. Методы и порядок проведения экспертизы игровых программ с целью обнаружения в них недекларированных возможностей: 4.5.… … Словарь-справочник терминов нормативно-технической документации

Правила безопасности и порядок ликвидации аварийных ситуаций с опасными грузами при перевозке их по железным дорогам — Терминология Правила безопасности и порядок ликвидации аварийных ситуаций с опасными грузами при перевозке их по железным дорогам: 1.3. Аварийная ситуация условия, отличные от условий нормальной перевозки грузов, связанные с загоранием, утечкой,… … Словарь-справочник терминов нормативно-технической документации

правило доступа — Совокупность правил, регламентирующих порядок и условия доступа к защищаемой информации и ее носителям. см. тж Право доступа … Универсальный дополнительный практический толковый словарь И. Мостицкого

НОВЫЙ МЕЖДУНАРОДНЫЙ ЭКОНОМИЧЕСКИЙ ПОРЯДОК — (New International Economic Order, NIEO) Набор предложений для улучшения положения развивающихся стран (less developed countries, LDCs) путем изменения условий их торговли с развитыми странами и организации кредитования у развитых стран. Эта идея … Экономический словарь

Источник

Права доступа (к информации)

Права доступа (к информации) — совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и её носителям, установленных правовыми документами или собственником, владельцем информации.

Права доступа определяют набор действий (например, чтение, запись, выполнение), разрешённых для выполнения субъектам (например, пользователям системы) над объектами данных. Понятно, что требуется некая система для предоставления субъектам различных прав доступа к объектам. Это система разграничения доступа субъектов к объектам, которая рассматривается в качестве главного средства защиты от несанкционированного доступа к информации по руководящему документу «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации».

Содержание

Функции системы разграничения доступа

Кроме того, вышеуказанный руководящий документ предусматривает наличие обеспечивающих средств для СРД, которые выполняют следующие функции:

Основные принципы контроля доступа в СВТ

Дискреционный принцип контроля доступа

Комплекс средств защиты должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т. д.).

Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).

Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.

Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т. д.).

Мандатный принцип контроля доступа

Для реализации этого принципа каждому субъекту и каждому объекту должны сопоставляться классификационные метки, отражающие место данного субъекта (объекта) в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т. п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.

КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).

КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

В СВТ должен быть реализован диспетчер доступа, то есть средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.

Источник

Права доступа

Права доступа — совокупность правил, регламентирующих порядок и условия доступа субъекта к объектам информационной системы (информации, её носителям, процессам и другим ресурсам) установленных правовыми документами или собственником, владельцем информации.

Права доступа определяют набор действий (например, чтение, запись, выполнение), разрешённых для выполнения субъектам (например, пользователям системы) над объектами данных. Для этого требуется некая система для предоставления субъектам различных прав доступа к объектам. Это система разграничения доступа субъектов к объектам, которая рассматривается в качестве главного средства защиты от несанкционированного доступа к информации. [1]

Содержание

Функции системы разграничения доступа

Кроме того, вышеуказанный руководящий документ предусматривает наличие обеспечивающих средств для СРД, которые выполняют следующие функции:

Основные принципы контроля доступа в СВТ

Избирательный принцип контроля доступа

Комплекс средств защиты должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т. д.).

Для каждой пары (субъект — объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).

Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.

Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т. д.).

Мандатный принцип контроля доступа

Для реализации этого принципа каждому субъекту и каждому объекту должны сопоставляться классификационные метки, отражающие место данного субъекта (объекта) в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т. п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.

КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).

КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

В СВТ должен быть реализован диспетчер доступа, то есть средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.

Источник

Глава 2. Порядок доступа в помещения, в которых ведется обработка персональных данных (п.п. 2-18)

Глава 2. Порядок доступа в помещения, в которых ведется обработка персональных данных

3. Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность информации и технических средств, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.

4. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.

5. Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в металлических шкафах, оборудованных опечатывающими устройствами.

6. Помещения, в которых ведется обработка персональных данных, запираются на ключ, а в нерабочее время сдаются на охранную сигнализацию.

7. Гражданские служащее и работники, имеющие доступ в помещения, в которых ведется обработка персональных данных, снимают кабинет с охранной сигнализации и самостоятельно заходят в кабинеты.

8. Вскрытие и закрытие (постановка на охранную сигнализацию) помещений, в которых ведется обработка персональных данных, производится гражданскими служащими и работниками, имеющими право доступа в данные помещения.

9. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании служебного дня гражданские служащие и работники, имеющие право доступа в помещения, обязаны:

1) убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы, закрыть и опечатать шкафы;

2) отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;

5) поставить на охранную сигнализацию помещения.

10. Перед открытием помещений, в которых ведется обработка персональных данных, гражданские служащие и работники, имеющие право доступа в помещения, обязаны:

1) снять с охранной сигнализации помещение;

2) провести внешний осмотр входной двери с целью установления целостности двери и замка;

3) открыть дверь и осмотреть помещение, проверить наличие и целостность печатей на шкафах.

11. При обнаружении неисправности двери и запирающих устройств гражданские служащие и работники обязаны:

1) не вскрывая помещение, в котором ведется обработка персональных данных, доложить об обнаруженных неисправностях непосредственному руководителю;

3) составить акт о выявленных нарушениях и передать его представителю нанимателя для организации служебного расследования.

12. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только гражданские служащие и работники, непосредственно работающие в данном помещении.

13. Иные гражданские служащие и работники имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии гражданских служащих, непосредственно работающих в данных помещениях.

14. При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты.

15. Присутствие гражданских служащих и работников, не имеющих права доступа к персональным данным, должно быть исключено.

16. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, уборка помещения, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии гражданского служащего или работника, работающего в данном помещении.

17. В случае необходимости принятия в нерабочее время экстренных мер при срабатывании пожарной или охранной сигнализации, авариях в системах энерго-, водо- и теплоснабжения помещение, в котором ведется обработка персональных данных, вскрывается комиссией в составе не менее двух человек.

18. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на представителя нанимателя (работодателя) Правительства Калининградской области, обрабатывающего персональные данные.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник