В информационной системе персональных данных (ИСПДн) должно быть установлено и зафиксировано в организационно-распорядительных документах оператора персональных данных по защите персональных данных (задокументировано) ограничение количества неуспешных попыток входа в ИСПДн (доступа к ИСПДн) за период времени, установленный оператором персональных данных, а также обеспечено блокирование устройства, с которого предпринимаются попытки доступа, и (или) учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа в ИСПДн (доступа к ИСПДн).
Ограничение количества неуспешных попыток входа в ИСПДн (доступа к ИСПДн) должно обеспечиваться в соответствии с ИАФ.4.
Требования к усилению УПД.6:
1) в ИСПДн обеспечивается автоматическое блокирование устройства, с которого предпринимаются попытки доступа, и (или) учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа в ИСПДн (доступа к ИСПДн) за установленный период времени с возможностью разблокирования только администратором или иным лицом, имеющим соответствующие полномочия (роль);
2) в ИСПДн обеспечивается автоматическое удаление информации с мобильного технического средства, входящего в состав ИСПДн, при превышении допустимого числа неуспешных попыток входа в ИСПДн (доступа к ИСПДн) за установленный период времени, осуществляемых с мобильного устройства;
3) в ИСПДн обеспечивается противодействие автоматизированному подбору паролей с использованием однократных кодов, требующих визуального распознавания (в том числе с использованием технологии CAPTCHA).
Содержание базовой меры УПД.6:
| Мера защиты персональных данных | Уровень защищенности персональных данных | |||
| 4 | 3 | 2 | 1 | |
| УПД.6 | + | + | + | + |
| Усиление УПД.6 | 1 | |||