Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru

АНЗ.5

Материал из wikisec
Перейти к навигации Перейти к поиску

АНЗ.5 - Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе

Описание

Оператором должен проводиться контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе.

При контроле правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе осуществляется:

  • контроль правил генерации и смены паролей пользователей в соответствии с ИАФ.1 и ИАФ.4;
  • контроль заведения и удаления учетных записей пользователей в соответствии с УПД.1;
  • контроль реализации правил разграничения доступом в соответствии с УПД.2;
  • контроль реализации полномочий пользователей в соответствии с УПД.4 и УПД.5;
  • контроль наличия документов, подтверждающих разрешение изменений учетных записей пользователей, их параметров, правил разграничения доступом и полномочий пользователей, предусмотренных организационно-распорядительными документами по защите информации оператора;
  • устранение нарушений, связанных с генерацией и сменой паролей пользователей, заведением и удалением учетных записей пользователей, реализацией правил разграничения доступом, установлением полномочий пользователей.

Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе проводится с периодичностью, установленной оператором в организационно-распорядительных документах по защите информации.

Требования к усилению АНЗ.5:

  1. в информационной системе должна обеспечиваться регистрация событий, связанных со сменой паролей пользователей, заведением и удалением учетных записей пользователей, изменением правил разграничения доступом и полномочий пользователей;
  2. оператором должны использоваться автоматизированные средства, обеспечивающие контроль правил генерации и смены паролей пользователей, учетных записей пользователей, правил разграничения доступом и полномочий пользователей.


Мера защиты персональных данных Уровень защищенности персональных данных
4 3 2 1
АНЗ.5 + + +
Усиление АНЗ.5 1 1
Источник — https://wikisec.ru/index.php?title=АНЗ.5&oldid=17237