Оператором персональных данных должно быть обеспечено назначение прав и привилегий пользователям и запускаемым от их имени процессам, администраторам и лицам, обеспечивающим функционирование информационной системы персональных данных (ИСПДн), минимально необходимых для выполнения ими своих должностных обязанностей (функций), и санкционирование доступа к объектам доступа в соответствии с минимально необходимыми правами и привилегиями.
Оператором персональных данных должны быть однозначно определены и зафиксированы в организационно-распорядительных документах по защите персональных данных (задокументированы) роли и (или) должностные обязанности (функции), также объекты доступа, в отношении которых установлен наименьший уровень привилегий. Доступ к объектам доступа с учетом минимально необходимых прав и привилегий обеспечивается в соответствии с УПД.2.
Требования к усилению УПД.5:
1) оператором персональных данных должно быть обеспечено предоставление прав и привилегий по доступу к функциям безопасности (параметрам настройки) средств защиты информации исключительно администратору, наделенному полномочиями по администрированию системы защиты персональных данных (администратору безопасности);
2) запрет предоставления расширенных прав и привилегий внешним пользователям (пользователям, не являющимся внутренними пользователями).
Содержание базовой меры УПД.5:
| Мера защиты персональных данных | Уровень защищенности персональных данных | |||
| 4 | 3 | 2 | 1 | |
| УПД.5 | + | + | + | + |
| Усиление УПД.5 | 1 | |||