ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

Оператором персональных данных должны быть установлены и реализованы следующие функции управления средствами аутентификации (аутентификационной информацией) пользователей и устройств в информационной системе персональных данных (ИСПДн):
  • определение должностного лица (администратора) оператора персональных данных, ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации; 
  • изменение аутентификационной информации (средств аутентификации), заданных их производителями и (или) используемых при внедрении системы защиты персональных данных ИСПДн; 
  • выдача средств аутентификации пользователям; 
  • генерация и выдача начальной аутентификационной информации (начальных значений средств аутентификации); 
  • установление характеристик пароля (при использовании в ИСПДн механизмов аутентификации на основе пароля): 
    • задание минимальной сложности пароля с определяемыми оператором  персональных данных требованиями к регистру, количеству символов, сочетанию букв верхнего и нижнего регистра, цифр и специальных символов; 
    • задание минимального количества измененных символов при создании новых паролей; 
    • задание максимального времени действия пароля; 
    • задание минимального времени действия пароля; 
    • запрет на использование пользователями определенного оператором персональных данных числа последних использованных паролей при создании новых паролей; 
  • блокирование (прекращение действия) и замена утерянных, скомпрометированных или поврежденных средств аутентификации; 
  • назначение необходимых характеристик средств аутентификации (в том числе механизма пароля); 
  • обновление аутентификационной информации (замена средств аутентификации) с периодичностью, установленной оператором персональных данных; 
  • защита аутентификационной информации от неправомерных доступа к ней и модифицирования. 
Правила и процедуры управления средствами аутентификации (аутентификационной информацией) регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных. 

Требование к усилению ИАФ.4: 

1) в случае использования в ИСПДн механизмов аутентификации на основе пароля (иной последовательности символов, используемой для аутентификации) или применения пароля в качестве одного из факторов многофакторной аутентификации, его характеристики должны быть следующими: 
а) длина пароля не менее шести символов, алфавит пароля не менее 30 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 3 до 15 минут, смена паролей не более чем через 180 дней; 
б) длина пароля не менее шести символов, алфавит пароля не менее 60 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 5 до 30 минут, смена паролей не более чем через 120 дней; 
в) длина пароля не менее шести символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут, смена паролей не более чем через 90 дней; 
г) длина пароля не менее восьми символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут, смена паролей не более чем через 60 дней;

2) в ИСПДн должно быть обеспечено использование автоматизированных средств для формирования аутентификационной информации (генераторов паролей) с требуемыми характеристиками стойкости (силы) механизма аутентификации и для оценки характеристик этих механизмов; 

3) в ИСПДн должно быть обеспечено использование серверов и (или) программного обеспечения аутентификации для единой аутентификации в компонентах информационной системы и компонентах программного обеспечения, предусматривающего собственную аутентификацию; 

4) оператор персональных данных должен обеспечить получение (запросить) у поставщика технических средств и программного обеспечения ИСПДн аутентификационную информацию, заданную производителем этих технических средств и программного обеспечения и не указанную в эксплуатационной документации; 

5) оператором должны быть определены меры по исключению возможности использования пользователями их идентификаторов и паролей в других ИСПДн.


Содержание базовой меры ИАФ.4:

Мера защиты персональных данных Уровень защищенности персональных данных
4 3 2 1
ИАФ.4 + + + +
Усиление ИАФ.4
Категории: