Model Functional Requirements for Electronic Records ...

More documents

Recommendations

Info

MOREQ SPECIFICATION – РУССКАЯ ВЕРСИЯ 4 УПРАВЛЕНИЕ ДОСТУПОМ И БЕЗОПАСНОСТЬ Данная глава охватывает требования к широкому кругу задач управления доступом к документам и информационной безопасности. Организации должны быть способны контролировать, кто имеет доступ к документам и при каких обстоятельствах, поскольку документы могут содержать персональную информацию, коммерческую тайну или иные сведения ограниченного распространения. Ограничения на доступ также касаются и внешних пользователей. Например, в некоторых странах, где законодательство о свободе информации разрешает доступ к избранным документам государственных органов, пользователи могут пожелать просмотреть эти документы. Требования для подобных случаев перечислены в разделе Fehler! Verweisquelle konnte nicht gefunden werden.. Любой факт обращения к документу и все другие действия, затрагивающие сам документ, или связанные с ним документы и данные, должны быть отражены в системном журнале, чтобы обеспечить его юридическую значимость и помочь при восстановлении данных. Требования к системному журналу перечислены в разделе Fehler! Verweisquelle konnte nicht gefunden werden.. Защита документов также включает средства сохранения данных при сбое системы посредством резервного копирования и возможность восстановления данных из резервной копии. Эти требования изложены в разделе 4.3. Требования касательно аутентичности документов изложены в разделе Fehler! Verweisquelle konnte nicht gefunden werden.. Наконец, требования по защите документов имеющих гриф доступа (что обычно встречается в государственных учреждениях и у их подрядчиков) изложены в разделе Fehler! Verweisquelle konnte nicht gefunden werden.. 4.1 Доступ Организациям чаще всего требуется контролировать доступ к их документам. Обычно им нужно ограничить или разрешить доступ к указанным документам и папкам (делам) для отдельных пользователей и/или групп. Когда дело касается вопросов национальной безопасности, требуется принять во внимание уровень допуска пользователя. Право управлять настройками прав доступа должно быть предоставлено только ограниченному кругу лиц. В таблице 13.4 это показано как роль Администратора. Следует, однако, заметить, что сотрудник, назначенный на эту роль, лишь выполняет определенные действия в системе, а решения принимаются высшим руководством. Такие решения обычно основываются Январь 2006 24
MOREQ SPECIFICATION – РУССКАЯ ВЕРСИЯ на требованиях закона и других нормативных документов, таких как законодательство в области информации, защиты данных, архивного дела и отраслевых нормативных актов. Этому посвящен раздел 11.5. № Требование 4.1.1 АСЭД обязательно должна позволять администратору ограничивать доступ пользователей и групп к различным информационным объектам (документам, папкам и метаданным). 4.1.2 АСЭД обязательно должна позволять администратору назначать профилю пользователя атрибуты, которые определяют, к каким функциям, полям метаданных, документам и папкам данный пользователь имеет доступ. Атрибуты профиля пользователя должны: • Запрещать доступ к АСЭД без успешной аутентификации, используя указанный механизм; • Ограничивать доступ пользователя только к указанным папкам или документам (т.е. нужно указать, к каким документам и папкам пользователь имеет доступ; а к остальным - нет ); • Ограничивать доступ пользователя только к указанным классам в схеме классификации; • Ограничивать доступ пользователя в соответствии с его уровнем допуска; • Ограничивать доступ пользователя только к отдельным функциям (в т.ч. просмотр, модификация и/или удаление указанных полей метаданных); • Запрещать доступ после указанной даты; • Включать пользователя в состав групп. Примером допустимого механизма аутентификации может быть пароль. 4.1.3 АСЭД обязательно должна позволять применять те же функции управления доступом к ролям, как и к пользователям. Эта возможность позволяет администратору управлять и обслуживать ограниченное число конфигураций прав доступа для ролей вместо настройки прав для большого числа отдельных пользователей. Примерами ролей могут быть Менеджер, Регистратор, Специалист по безопасности, Администратор базы данных. 4.1.4 В АСЭД обязательно должна быть возможность создания групп пользователей. Группе могут быть даны права доступа на информационный объект. Примерами групп могут быть: Сотрудники, Отдел продаж. 4.1.5 АСЭД обязательно должна позволять включать пользователя более чем в одну группу. Январь 2006 25
Page 1 and 2: ТИПОВЫЕ ТРЕБОВАНИЯ
Page 3 and 4: Управление версиям
Page 5 and 6: MOREQ SPECIFICATION - РУССКА
Page 31: MOREQ SPECIFICATION - РУССКА
Page 83 and 84:
MOREQ SPECIFICATION - РУССКА
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
Page 113 and 114:
Page 115 and 116:
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
Page 151 and 152:
Page 153 and 154:
Page 155 and 156:
Page 157 and 158:
Page 159:
show all

Model Functional Requirements for Electronic Records ...

Create successful ePaper yourself

Delete template?

Save as template?