5. Требования к управлению доступом

25. В средствах доверенной третьей стороны должны быть реализованы механизмы разграничения доступа, поддерживающие следующие обязательные роли:

а) системный администратор, в полномочия которого входят инсталляция, конфигурация и поддержка функционирования средств доверенной третьей стороны, создание и поддержка профилей членов группы администраторов средств доверенной третьей стороны, конфигурация профиля и параметров журнала аудита (за исключением возможности вносить изменения в журнал аудита);

б) администратор информационной безопасности, в полномочия которого входят анализ и контроль состояния защищенности средств доверенной третьей стороны, просмотр журнала аудита, контроль за выполнением организационных мер защиты;

в) администратор средств защиты информации, в полномочия которого входят контроль и обеспечение функционирования средств защиты информации доверенной третьей стороны, а также контроль за условиями функционирования таких средств.

26. Средства доверенной третьей стороны должны обеспечивать реализацию дискреционного и мандатного принципов управления доступом, а также создание замкнутой рабочей среды (программная среда, которая допускает существование в ней только фиксированного набора программ и процессов).

27. В средствах доверенной третьей стороны должен быть реализован механизм, исключающий возможность авторизации 1 члена из группы администраторов средств удостоверяющего центра с целью использования полномочий различных ролей.