Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru
ИАФ.4: различия между версиями
Перейти к навигации
Перейти к поиску
Wikiadmin (обсуждение | вклад) (Новая страница: «'''ИАФ.4''' - Управление средствами аутентификации, в том числе хранение, выдача, инициализа...») |
Wikiadmin (обсуждение | вклад) м (Замена текста — «Меры по обеспечению безопасности ПДн]» на «Меры защиты информации в государственных информационных системах]») |
||
| Строка 53: | Строка 53: | ||
| 1г | | 1г | ||
|} | |} | ||
| − | [[Категория: Меры | + | [[Категория: Меры защиты информации в государственных информационных системах]] |
Версия 11:17, 7 октября 2021
ИАФ.4 - Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
Описание
Оператором персональных данных должны быть установлены и реализованы следующие функции управления средствами аутентификации (аутентификационной информацией) пользователей и устройств в информационной системе персональных данных (ИСПДн):
- определение должностного лица (администратора) оператора персональных данных, ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
- изменение аутентификационной информации (средств аутентификации), заданных их производителями и (или) используемых при внедрении системы защиты персональных данных ИСПДн;
выдача средств аутентификации пользователям;
- генерация и выдача начальной аутентификационной информации (начальных значений средств аутентификации);
- установление характеристик пароля (при использовании в ИСПДн механизмов аутентификации на основе пароля):
- задание минимальной сложности пароля с определяемыми оператором персональных данных требованиями к регистру, количеству символов, сочетанию букв верхнего и нижнего регистра, цифр и специальных символов;
- задание минимального количества измененных символов при создании новых паролей;
- задание максимального времени действия пароля;
- задание минимального времени действия пароля;
- запрет на использование пользователями определенного оператором персональных данных числа последних использованных паролей при создании новых паролей;
- блокирование (прекращение действия) и замена утерянных, скомпрометированных или поврежденных средств аутентификации;
- назначение необходимых характеристик средств аутентификации (в том числе механизма пароля);
- обновление аутентификационной информации (замена средств аутентификации) с периодичностью, установленной оператором персональных данных;
- защита аутентификационной информации от неправомерных доступа к ней и модифицирования.
Правила и процедуры управления средствами аутентификации (аутентификационной информацией) регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
Требования к усилению ИАФ.4:
- в случае использования в ИСПДн механизмов аутентификации на основе пароля (иной последовательности символов, используемой для аутентификации) или применения пароля в качестве одного из факторов многофакторной аутентификации, его характеристики должны быть следующими:
- а) длина пароля не менее шести символов, алфавит пароля не менее 30 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 3 до 15 минут, смена паролей не более чем через 180 дней;
- б) длина пароля не менее шести символов, алфавит пароля не менее 60 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 5 до 30 минут, смена паролей не более чем через 120 дней;
- в) длина пароля не менее шести символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут, смена паролей не более чем через 90 дней;
- г) длина пароля не менее восьми символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут, смена паролей не более чем через 60 дней;
- в ИСПДн должно быть обеспечено использование автоматизированных средств для формирования аутентификационной информации (генераторов паролей) с требуемыми характеристиками стойкости (силы) механизма аутентификации и для оценки характеристик этих механизмов;
- в ИСПДн должно быть обеспечено использование серверов и (или) программного обеспечения аутентификации для единой аутентификации в компонентах информационной системы и компонентах программного обеспечения, предусматривающего собственную аутентификацию;
- оператор персональных данных должен обеспечить получение (запросить) у поставщика технических средств и программного обеспечения ИСПДн аутентификационную информацию, заданную производителем этих технических средств и программного обеспечения и не указанную в эксплуатационной документации;
- оператором должны быть определены меры по исключению возможности использования пользователями их идентификаторов и паролей в других ИСПДн.
| Мера защиты персональных данных | Уровень защищенности персональных данных | |||
|---|---|---|---|---|
| 4 | 3 | 2 | 1 | |
| ИАФ.4 | + | + | + | + |
| Усиление ИАФ.4 | 1а | 1б | 1в | 1г |
