В информационной системе персональных данных (ИСПДн) должна обеспечиваться идентификация и аутентификация пользователей, являющихся работниками оператора.
При доступе в ИСПДн должна осуществляться идентификация и аутентификация пользователей, являющихся работниками оператора (внутренних пользователей), и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей.
К внутренним пользователям, относятся должностные лица оператора (пользователи, администраторы), выполняющие свои должностные обязанности (функции) обрабатывающих персональные данные, информационных технологий и технических средств ИСПДн в соответствии с должностными регламентами (инструкциями) утвержденными оператором и которым в ИСПДн присвоены учетные записи. В качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и (или) оператора иной ИСПДн, а также лица, привлекаемые на договорной основе для обеспечения функционирования ИСПДн (ремонт, гарантийное обслуживание, регламентные и иные работы) в соответствии с организационно-распорядительными документами оператора и которым в ИСПДн также присвоены учетные записи.
Пользователи ИСПДн должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с мерой защиты персональных данных УПД.11.
Аутентификация пользователя осуществляется с использованием паролей, аппаратных средств, биометрических характеристик, иных средств или в случае многофакторной (двухфакторной) аутентификации – определенной комбинации указанных средств. В ИСПДн должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами.
Правила и процедуры идентификации и аутентификации пользователей регламентируются в организационно-распорядительных документах по защите персональных данных.
1) в ИСПДн должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного доступа в систему с правами привилегированных учетных записей (администраторов):
а) с использованием сети связи общего пользования, в том числе сети Интернет;
б) без использования сети связи общего пользования;
2) в ИСПДн должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного доступа в систему с правами непривилегированных учетных записей (пользователей):
а) с использованием сети связи общего пользования, в том числе сети Интернет;
б) без использования сети связи общего пользования;
3) в ИСПДн должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального доступа в систему с правами привилегированных учетных записей (администраторов);
4) в ИСПДн должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального доступа в систему с правами непривилегированных учетных записей (пользователей);
5) в ИСПДн должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами привилегированных учетных записей (администраторов), где один из факторов обеспечивается аппаратным устройством аутентификации, отделенным от ИСПДн, к которой осуществляется доступ;
6) в ИСПДн должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами непривилегированных учетных записей (пользователей), где один из факторов обеспечивается устройством, отделенным от ИСПДн, к которой осуществляется доступ;
7) в ИСПДн использоваться механизм одноразовых паролей при аутентификации пользователей, осуществляющих удаленный или локальный доступ;
8) в ИСПДн для аутентификации пользователей должно обеспечиваться применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации.
Содержание базовой меры ИАФ.1:
| Мера защиты персональных данных | Уровень защищенности персональных данных | |||
| 4 | 3 | 2 | 1 | |
| ИАФ.1 | + | + | + | + |
| Усиление ИАФ.1 | 1а, 2а, 3 | 1а, 2а, 3, 4 | ||