Приказ ФСТЭК России №21: АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе

Оператором персональных данных должен проводиться контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе персональных данных (ИСПДн).

При контроле правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в ИСПДн осуществляется:

контроль правил генерации и смены паролей пользователей в соответствии с ИАФ.1 и ИАФ.4;
контроль заведения и удаления учетных записей пользователей в соответствии с УПД.1;
контроль реализации правил разграничения доступом в соответствии с УПД.2;
контроль реализации полномочий пользователей в соответствии с УПД.4 и УПД.5;
контроль наличия документов, подтверждающих разрешение изменений учетных записей пользователей, их параметров, правил разграничения доступом и полномочий пользователей, предусмотренных организационно-распорядительными документами по защите персональных данных оператора персональных данных;
устранение нарушений, связанных с генерацией и сменой паролей пользователей, заведением и удалением учетных записей пользователей, реализацией правил разграничения доступом, установлением полномочий пользователей.

Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в ИСПДн проводится с периодичностью, установленной оператором персональных данных в организационно-распорядительных документах по защите персональных данных.

Требования к усилению АНЗ.5:

1) в ИСПДн должна обеспечиваться регистрация событий, связанных со сменой паролей пользователей, заведением и удалением учетных записей пользователей, изменением правил разграничения доступом и полномочий пользователей;

2) оператором персональных данных должны использоваться автоматизированные средства, обеспечивающие контроль правил генерации и смены паролей пользователей, учетных записей пользователей, правил разграничения доступом и полномочий пользователей.

Содержание базовой меры АНЗ.5:

Мера защиты персональных данных	Уровень защищенности персональных данных
Мера защиты персональных данных	4	3	2	1
АНЗ.5			+	+
Усиление АНЗ.5			1	1

Приказ ФСТЭК России №21

Позиция сайта

Поиск по этому сайту

Техническая защита информации

Друзья сайта