REES46

Appearance

Регламент управления доступом к ИС

г. Санкт-Петербург, 22.04.2025

1. Общие положения

1.1. Настоящий регламент определяет порядок предоставления, изменения и отзыва доступа к информационным системам (ИС), содержащим персональные данные (ПДн), в ООО «Персонализация».

1.2. Регламент является локальным нормативным актом и обязателен для всех сотрудников, получающих доступ к ИС.

2. Термины и определения

2.1. ИС — совокупность программно-аппаратных средств и процессов компании, предназначенных для обработки данных.

2.2. Пользователь — сотрудник или подрядчик, имеющий или запрашивающий доступ к ИС.

2.3. RBAC — модель разграничения доступа на основе ролей.

2.4. ACL — списки контроля доступа, реализующие правила доступа на уровне конкретных ресурсов.

2.5. Администратор доступа — технический директор или иное уполномоченное лицо.

3. Принципы управления доступом

3.1. Применяется модель RBAC. Все пользователи получают только минимально необходимый уровень доступа.

3.2. Реализация разграничения осуществляется с использованием ACL на уровне:

  • Kubernetes (NetworkPolicy, RoleBinding)
  • PostgreSQL (GRANT/REVOKE)
  • VPN (персональные конфигурации)
  • CI/CD (GitHub Teams, репозитории и Actions)

3.3. Все изменения доступа оформляются через Pull Request в инфраструктурные репозитории и фиксируются в Git.

4. Назначение доступа

4.1. Запрос на доступ инициируется пользователем в трекере задач (например, GitHub Issues).

4.2. Решение о предоставлении доступа принимает администратор доступа.

4.3. После утверждения создаётся Pull Request, в котором:

  • описаны права доступа
  • указан заявитель
  • приведена ссылка на исходную задачу

4.4. После мёрджа PR права вступают в силу.

4.5. VPN-доступ выдается с уникальным ключом. ACL настраивается индивидуально.

5. Изменение и отзыв доступа

5.1. Изменение прав доступа осуществляется аналогично назначению — через PR.

5.2. Отзыв доступа инициируется в случаях:

  • завершения сотрудничества
  • изменения роли
  • компрометации ключей
  • по решению CISO или технического директора

5.3. Удаление VPN-доступа включает отзыв ключа и обновление соответствующих ACL.

6. Аудит доступа

6.1. Аудит проводится не реже одного раза в квартал.

6.2. Ответственными за аудит являются технический директор и CISO.

6.3. В рамках аудита:

  • сверяются текущие права пользователей с актуальными ролями
  • выявляются и устраняются устаревшие ACL
  • фиксируются нарушения и планируются корректирующие меры

7. Ответственность

7.1. За нарушение настоящего регламента пользователи несут ответственность в соответствии с условиями трудового договора и действующим законодательством.

Генеральный директор ООО «ПЕРСОНАЛИЗАЦИЯ» Кечинов М.А.