В информационной системе персональных данных (ИСПДн) должно обеспечиваться управление доступом субъектов доступа к объектам доступа, в том числе внутри виртуальных машин, в соответствии с УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13.
При реализации мер по управлению доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре должны обеспечиваться:
- контроль доступа субъектов доступа к средствам управления компонентами виртуальной инфраструктуры;
- контроль доступа субъектов доступа к файлам-образам виртуализированного программного обеспечения, виртуальных машин, файлам-образам, служебным данным, используемым для обеспечения работы виртуальных файловых систем, и иным служебным данным средств виртуальной среды;
- управление доступом к виртуальному аппаратному обеспечению ИСПДн, являющимся объектом доступа;
- контроль запуска виртуальных машин на основе заданных оператором персональных данных правил (режима запуска, типа используемого носителя и иных правил).
Кроме того, меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать:
- разграничение доступа субъектов доступа, зарегистрированных на виртуальных машинах, к объектам доступа, расположенным внутри виртуальных машин, в соответствии с правилами разграничения доступа пользователей данных виртуальных машин (потребителей облачных услуг);
- разграничение доступа субъектов доступа, зарегистрированных на виртуальных машинах, к ресурсам ИСПДн, размещенным за пределами виртуальных машин, в соответствии с правилами разграничения доступа принятыми в ИСПДн в целом.
Требования к усилению ЗСВ.2:
1) в ИСПДн должен обеспечиваться доступ к операциям, выполняемым с помощью средств управления виртуальными машинами, в том числе к операциям создания, запуска, останова, создания копий, удаления виртуальных машин, который должен быть разрешен только администраторам виртуальной инфраструктуры;
2) в ИСПДн должен обеспечиваться доступ к конфигурации виртуальных машин только администраторам виртуальной инфраструктуры;
3) администратор виртуальной инфраструктуры определяет ограничения по изменению состава устройств виртуальных машин, объема используемой оперативной памяти, подключаемых виртуальных и физических носителей информации;
4) в ИСПДн должен обеспечиваться контроль доступа субъектов доступа к изолированному адресному пространству в памяти гипервизора, в памяти хостовой операционной системы, виртуальных машин и (или) иных объектов доступа.
Содержание базовой меры ЗСВ.2:
| Мера защиты персональных данных | Уровень защищенности персональных данных | |||
| 4 | 3 | 2 | 1 | |
| ЗСВ.2 | + | + | + | + |
| Усиление ЗСВ.2 | 1, 2 | 1, 2 | 1, 2 | |