ИАФ.1

ИАФ.1 - Идентификация и аутентификация пользователей, являющихся работниками оператора

Описание

В информационной системе персональных данных (ИСПДн) должна обеспечиваться идентификация и аутентификация пользователей, являющихся работниками оператора. При доступе в ИСПДн должна осуществляться идентификация и аутентификация пользователей, являющихся работниками оператора (внутренних пользователей), и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей.

К внутренним пользователям, относятся должностные лица оператора (пользователи, администраторы), выполняющие свои должностные обязанности (функции) обрабатывающих персональные данные, информационных технологий и технических средств ИСПДн в соответствии с должностными регламентами (инструкциями) утвержденными оператором и которым в ИСПДн присвоены учетные записи. В качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и (или) оператора иной ИСПДн, а также лица, привлекаемые на договорной основе для обеспечения функционирования ИСПДн (ремонт, гарантийное обслуживание, регламентные и иные работы) в соответствии с организационно-распорядительными документами оператора и которым в ИСПДн также присвоены учетные записи.

Пользователи ИСПДн должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с мерой защиты персональных данных УПД.11.

Аутентификация пользователя осуществляется с использованием паролей, аппаратных средств, биометрических характеристик, иных средств или в случае многофакторной (двухфакторной) аутентификации – определенной комбинации указанных средств. В ИСПДн должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами.

Правила и процедуры идентификации и аутентификации пользователей регламентируются в организационно-распорядительных документах по защите персональных данных.

Требования к усилению ИАФ.1:

1. в ИСПДн должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного доступа в систему с правами привилегированных учетных записей (администраторов):

   а) с использованием сети связи общего пользования, в том числе сети Интернет;

   б) без использования сети связи общего пользования;

2. в ИСПДн должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного доступа в систему с правами непривилегированных учетных записей (пользователей):

   а) с использованием сети связи общего пользования, в том числе сети Интернет;

   б) без использования сети связи общего пользования;

3. в ИСПДн должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального доступа в систему с правами привилегированных учетных записей (администраторов);
4. в ИСПДн должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального доступа в систему с правами непривилегированных учетных записей (пользователей);
5. в ИСПДн должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами привилегированных учетных записей (администраторов), где один из факторов обеспечивается аппаратным устройством аутентификации, отделенным от ИСПДн, к которой осуществляется доступ;
6. в ИСПДн должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами непривилегированных учетных записей (пользователей), где один из факторов обеспечивается устройством, отделенным от ИСПДн, к которой осуществляется доступ;
7. в ИСПДн использоваться механизм одноразовых паролей при аутентификации пользователей, осуществляющих удаленный или локальный доступ;
8. в ИСПДн для аутентификации пользователей должно обеспечиваться применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации.