Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru

ИАФ.4: различия между версиями

Материал из wikisec
Перейти к навигации Перейти к поиску
(Новая страница: «'''ИАФ.4''' - Управление средствами аутентификации, в том числе хранение, выдача, инициализа...»)
 
 
(не показана 1 промежуточная версия этого же участника)
Строка 2: Строка 2:
  
 
== Описание ==
 
== Описание ==
Оператором персональных данных должны быть установлены и реализованы следующие функции управления средствами аутентификации (аутентификационной информацией) пользователей и устройств в информационной системе персональных данных (ИСПДн):
+
Оператором должны быть установлены и реализованы следующие функции управления средствами аутентификации (аутентификационной информацией) пользователей и устройств в информационной системе:
*определение должностного лица (администратора) оператора персональных данных, ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;  
+
*определение должностного лица (администратора) оператора, ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
*изменение аутентификационной информации (средств аутентификации), заданных их производителями и (или) используемых при внедрении системы защиты персональных данных ИСПДн;  
+
*изменение аутентификационной информации (средств аутентификации), заданных их производителями и (или) используемых при внедрении системы защиты информации информационной системы;
выдача средств аутентификации пользователям;  
+
*выдача средств аутентификации пользователям;
*генерация и выдача начальной аутентификационной информации (начальных значений средств аутентификации);  
+
*генерация и выдача начальной аутентификационной информации (начальных значений средств аутентификации);
*установление характеристик пароля (при использовании в ИСПДн механизмов аутентификации на основе пароля):  
+
*установление характеристик пароля (при использовании в информационной системе механизмов аутентификации на основе пароля):
**задание минимальной сложности пароля с определяемыми оператором персональных данных требованиями к регистру, количеству символов, сочетанию букв верхнего и нижнего регистра, цифр и специальных символов;  
+
**задание минимальной сложности пароля с определяемыми оператором требованиями к регистру, количеству символов, сочетанию букв верхнего и нижнего регистра, цифр и специальных символов;
**задание минимального количества измененных символов при создании новых паролей;  
+
**задание минимального количества измененных символов при создании новых паролей;
**задание максимального времени действия пароля;  
+
**задание максимального времени действия пароля;
**задание минимального времени действия пароля;  
+
**задание минимального времени действия пароля;
**запрет на использование пользователями определенного оператором персональных данных числа последних использованных паролей при создании новых паролей;  
+
**запрет на использование пользователями определенного оператором числа последних использованных паролей при создании новых паролей;
*блокирование (прекращение действия) и замена утерянных, скомпрометированных или поврежденных средств аутентификации;  
+
**окирование (прекращение действия) и замена утерянных, скомпрометированных или поврежденных средств аутентификации;
*назначение необходимых характеристик средств аутентификации (в том числе механизма пароля);  
+
**значение необходимых характеристик средств аутентификации (в том числе механизма пароля);
*обновление аутентификационной информации (замена средств аутентификации) с периодичностью, установленной оператором персональных данных;  
+
**новление аутентификационной информации (замена средств аутентификации) с периодичностью, установленной оператором;
*защита аутентификационной информации от неправомерных доступа к ней и модифицирования.  
+
*защита аутентификационной информации от неправомерных доступа к ней и модифицирования.
Правила и процедуры управления средствами аутентификации (аутентификационной информацией) регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.  
+
 
 +
Правила и процедуры управления средствами аутентификации (аутентификационной информацией) регламентируются в организационно-распорядительных документах оператора по защите информации.
  
 
==Требования к усилению ИАФ.4: ==
 
==Требования к усилению ИАФ.4: ==
  
#в случае использования в ИСПДн механизмов аутентификации на основе пароля (иной последовательности символов, используемой для аутентификации) или применения пароля в качестве одного из факторов многофакторной аутентификации, его характеристики должны быть следующими:  
+
#в случае использования в информационной системе механизмов аутентификации на основе пароля (иной последовательности символов, используемой для аутентификации) или применения пароля в качестве одного из факторов многофакторной аутентификации, его характеристики должны быть следующими:
#:а) длина пароля не менее шести символов, алфавит пароля не менее 30 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 3 до 15 минут, смена паролей не более чем через 180 дней;  
+
#:а) длина пароля не менее шести символов, алфавит пароля не менее 30 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 3 до 15 минут, смена паролей не более чем через 180 дней;
#:б) длина пароля не менее шести символов, алфавит пароля не менее 60 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 5 до 30 минут, смена паролей не более чем через 120 дней;  
+
#:б) длина пароля не менее шести символов, алфавит пароля не менее 60 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 5 до 30 минут, смена паролей не более чем через 120 дней;
#:в) длина пароля не менее шести символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут, смена паролей не более чем через 90 дней;  
+
#:в) длина пароля не менее шести символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут, смена паролей не более чем через 90 дней;
 
#:г) длина пароля не менее восьми символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут, смена паролей не более чем через 60 дней;
 
#:г) длина пароля не менее восьми символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут, смена паролей не более чем через 60 дней;
# в ИСПДн должно быть обеспечено использование автоматизированных средств для формирования аутентификационной информации (генераторов паролей) с требуемыми характеристиками стойкости (силы) механизма аутентификации и для оценки характеристик этих механизмов;  
+
# в информационной системе должно быть обеспечено использование автоматизированных средств для формирования аутентификационной информации (генераторов паролей) с требуемыми характеристиками стойкости (силы) механизма аутентификации и для оценки характеристик этих механизмов;
ИСПДн должно быть обеспечено использование серверов и (или) программного обеспечения аутентификации для единой аутентификации в компонентах информационной системы и компонентах программного обеспечения, предусматривающего собственную аутентификацию;  
+
# в информационной системе должно быть обеспечено использование серверов и (или) программного обеспечения аутентификации для единой аутентификации в компонентах информационной системы и компонентах программного обеспечения, предусматривающего собственную аутентификацию;
#оператор персональных данных должен обеспечить получение (запросить) у поставщика технических средств и программного обеспечения ИСПДн аутентификационную информацию, заданную производителем этих технических средств и программного обеспечения и не указанную в эксплуатационной документации;  
+
# оператор должен обеспечить получение (запросить) у поставщика технических средств и программного обеспечения информационной системы аутентификационную информацию, заданную производителем этих технических средств и программного обеспечения и не указанную в эксплуатационной документации;
#оператором должны быть определены меры по исключению возможности использования пользователями их идентификаторов и паролей в других ИСПДн.
+
# оператором должны быть определены меры по исключению возможности использования пользователями их идентификаторов и паролей в других информационных системах.
 +
 
  
 
{| class="wikitable" style="text-align:center;"
 
{| class="wikitable" style="text-align:center;"
 
|- style="text-align:left;"
 
|- style="text-align:left;"
! rowspan="2" | Мера защиты персональных данных
+
! rowspan="2" | Мера защиты информации
! colspan="4" style="text-align:center;" | Уровень защищенности персональных данных
+
! colspan="4" style="text-align:center;" | Класс защищенности информационной системы
 
|-
 
|-
 
| 4
 
| 4
Строка 53: Строка 55:
 
| 1г
 
| 1г
 
|}
 
|}
[[Категория: Меры по обеспечению безопасности ПДн]]
+
[[Категория: Меры защиты информации в государственных информационных системах]]

Текущая версия на 16:54, 7 октября 2021

ИАФ.4 - Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

Описание

Оператором должны быть установлены и реализованы следующие функции управления средствами аутентификации (аутентификационной информацией) пользователей и устройств в информационной системе:

  • определение должностного лица (администратора) оператора, ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
  • изменение аутентификационной информации (средств аутентификации), заданных их производителями и (или) используемых при внедрении системы защиты информации информационной системы;
  • выдача средств аутентификации пользователям;
  • генерация и выдача начальной аутентификационной информации (начальных значений средств аутентификации);
  • установление характеристик пароля (при использовании в информационной системе механизмов аутентификации на основе пароля):
    • задание минимальной сложности пароля с определяемыми оператором требованиями к регистру, количеству символов, сочетанию букв верхнего и нижнего регистра, цифр и специальных символов;
    • задание минимального количества измененных символов при создании новых паролей;
    • задание максимального времени действия пароля;
    • задание минимального времени действия пароля;
    • запрет на использование пользователями определенного оператором числа последних использованных паролей при создании новых паролей;
    • окирование (прекращение действия) и замена утерянных, скомпрометированных или поврежденных средств аутентификации;
    • значение необходимых характеристик средств аутентификации (в том числе механизма пароля);
    • новление аутентификационной информации (замена средств аутентификации) с периодичностью, установленной оператором;
  • защита аутентификационной информации от неправомерных доступа к ней и модифицирования.

Правила и процедуры управления средствами аутентификации (аутентификационной информацией) регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению ИАФ.4:

  1. в случае использования в информационной системе механизмов аутентификации на основе пароля (иной последовательности символов, используемой для аутентификации) или применения пароля в качестве одного из факторов многофакторной аутентификации, его характеристики должны быть следующими:
    а) длина пароля не менее шести символов, алфавит пароля не менее 30 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 3 до 15 минут, смена паролей не более чем через 180 дней;
    б) длина пароля не менее шести символов, алфавит пароля не менее 60 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 5 до 30 минут, смена паролей не более чем через 120 дней;
    в) длина пароля не менее шести символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут, смена паролей не более чем через 90 дней;
    г) длина пароля не менее восьми символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут, смена паролей не более чем через 60 дней;
  2. в информационной системе должно быть обеспечено использование автоматизированных средств для формирования аутентификационной информации (генераторов паролей) с требуемыми характеристиками стойкости (силы) механизма аутентификации и для оценки характеристик этих механизмов;
  3. в информационной системе должно быть обеспечено использование серверов и (или) программного обеспечения аутентификации для единой аутентификации в компонентах информационной системы и компонентах программного обеспечения, предусматривающего собственную аутентификацию;
  4. оператор должен обеспечить получение (запросить) у поставщика технических средств и программного обеспечения информационной системы аутентификационную информацию, заданную производителем этих технических средств и программного обеспечения и не указанную в эксплуатационной документации;
  5. оператором должны быть определены меры по исключению возможности использования пользователями их идентификаторов и паролей в других информационных системах.


Мера защиты информации Класс защищенности информационной системы
4 3 2 1
ИАФ.4 + + + +
Усиление ИАФ.4
Источник — https://wikisec.ru/index.php?title=ИАФ.4&oldid=17162