12. Рекомендации по составу ролей и разграничению полномочий эксплуатационного персонала
12.1. В организации БС РФ рекомендуется выделение следующих ролей эксплуатационного персонала:
12.1.1. Администратор виртуальных машин и администратор информационной безопасности (АИБ) виртуальных машин, выполняющие обязанности, предусмотренные для администраторов и АИБ АБС организации БС РФ, эксплуатируемых на виртуальных машинах.
Администратору виртуальных машин и АИБ виртуальных машин не рекомендуется иметь прав доступа:
- по управлению серверными компонентами виртуализации, в том числе гипервизором и физическим СВТ (хост-сервером), на котором он установлен, и СЗИ от несанкционированного доступа, используемыми для организации доступа к серверным компонентам виртуализации;
- к информации, хранимой в СХД;
- по управлению физическим сетевым оборудованием, используемым для разделения сегментов вычислительной сети в соответствии с требованиями, установленными в разделе 6 настоящих рекомендаций.
12.1.2. Администратор по управлению серверными компонентами виртуализации, выполняющий среди прочих обязанности по созданию виртуальных машин, управлению образами виртуальных машин на этапах их жизненного цикла.
Администратору по управлению серверными компонентами виртуализации не рекомендуется иметь прав доступа:
- предусмотренных для администратора виртуальных машин и АИБ виртуальных машин;
- по предоставлению доступа к виртуальным машинам, включая настройку виртуальных сегментов вычислительных сетей, в которых размещаются виртуальные машины, и настройку программно-аппаратных средств, используемых для сопоставления загружаемых образов виртуальных машин с предъявляемыми пользователями аппаратными идентификаторами;
- по управлению СЗИ от несанкционированного доступа, используемыми для организации доступа к серверным компонентам виртуализации;
- по управлению физическим сетевым оборудованием, используемым для разделения сегментов вычислительной сети в соответствии с требованиями, установленными в разделе 6 настоящих рекомендаций.
12.1.3. АИБ по управлению серверными компонентами виртуализации, выполняющий среди прочего следующие обязанности:
- по предоставлению доступа к виртуальным машинам, включая настройку виртуальных сегментов вычислительных сетей, в которых размещаются виртуальные машины, по настройке программно-аппаратных средств, используемых для сопоставления загружаемых образов виртуальных машин с предъявляемыми пользователями аппаратными идентификаторами;
- по контролю доступа и мониторингу событий и действий персонала в СХД;
- по управлению СЗИ от несанкционированного доступа, используемыми для организации доступа к серверным компонентам виртуализации;
- по управлению средствами защиты от воздействий вредоносного кода на уровне гипервизора;
- по настройке/обновлению сигнатурных баз средств защиты от воздействий вредоносного кода на уровне гипервизора;
- по применению групповых политик безопасности средств защиты от воздействий вредоносного кода на уровне гипервизора;
- по контролю отсутствия вредоносного кода;
- по просмотру журналов средств защиты от воздействий вредоносного кода на уровне гипервизора.
АИБ по управлению серверными компонентами виртуализации не рекомендуется иметь прав доступа:
- предусмотренных для администратора и АИБ автоматизированных систем организации БС РФ, эксплуатируемых на виртуальных машинах;
- по созданию виртуальных машин, управлению образами виртуальных машин на этапах их жизненного цикла;
- к информации, хранимой в СХД;
- по управлению физическим сетевым оборудованием, используемым для разделения сегментов вычислительной сети в соответствии с требованиями, установленными в разделе 6 настоящих рекомендаций.
12.1.4. Администратор СХД, выполняющий среди прочего обязанности по управлению СХД, включая управление оборудованием СХД и управление логическими разделами СХД.
Администратору СХД не рекомендуется иметь прав доступа:
- к информации, хранимой в СХД;
- предусмотренных для администраторов виртуальных машин и АИБ виртуальных машин;
- предусмотренных для администратора и АИБ по управлению серверными компонентами виртуализации;
- по управлению физическим сетевым оборудованием, используемым для разделения сегментов вычислительной сети в соответствии с требованиями, установленными в разделе 6 настоящих рекомендаций.
12.2. Не рекомендуется назначение двух или более ролей, указанных в пункте 12.1 настоящего документа, одному лицу.
12.3. Разделение полномочий администратора и АИБ виртуальных машин рекомендуется осуществлять в соответствии с требованиями, установленными в организации БС РФ для соответствующих контуров безопасности.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей