Оператором персональных данных должны быть установлены и реализованы следующие функции управления учетными записями пользователей, в том числе внешних пользователей:
- определение типа учетной записи (внутреннего пользователя, внешнего пользователя; системная, приложения; гостевая (анонимная), временная и (или) иные типы записей);
- объединение учетных записей в группы (при необходимости);
- верификацию пользователя (проверка личности пользователя, его должностных (функциональных) обязанностей) при заведении учетной записи пользователя;
- заведение, активация, блокирование и уничтожение учетных записей пользователей;
- пересмотр и, при необходимости, корректировка учетных записей пользователей с периодичностью, определяемой оператором;
- порядок заведения и контроля использования гостевых (анонимных) и временных учетных записей пользователей, а также привилегированных учетных записей администраторов;
- оповещение администратора, осуществляющего управление учетными записями пользователей, об изменении сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях;
- уничтожение временных учетных записей пользователей, предоставленных для однократного (ограниченного по времени) выполнения задач в информационной системе персональных данных (ИСПДн);
- предоставление пользователям прав доступа к объектам доступа ИСПДн, основываясь на задачах, решаемых пользователями в ИСПДн и взаимодействующими с ней информационными системами.
Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования ИСПДн, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к ИСПДн).
Правила и процедуры управления учетными записями пользователей регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
Требования к усилению УПД.1:
1) оператором персональных данных должны использоваться автоматизированные средства поддержки управления учетными записями пользователей;
2) в ИСПДн должно осуществляться автоматическое блокирование временных учетных записей пользователей по окончании установленного периода времени для их использования;
3) в ИСПДн должно осуществляться автоматическое блокирование неактивных (неиспользуемых) учетных записей пользователей после периода времени неиспользования:
а) более 90 дней;
б) более 45 дней;
4) в ИСПДн должно осуществляться автоматическое блокирование учетных записей пользователей:
а) при превышении установленного оператором персональных данных числа неуспешных попыток аутентификации пользователя;
б) при выявлении по результатам мониторинга (просмотра, анализа) журналов регистрации событий безопасности действий пользователей, которые отнесены оператором персональных данных к событиям нарушения безопасности информации;
5) в ИСПДн должен осуществляться автоматический контроль заведения, активации, блокирования и уничтожения учетных записей пользователей и оповещение администраторов о результатах автоматического контроля.
Содержание базовой меры УПД.1:
| Мера защиты персональных данных | Уровень защищенности персональных данных | |||
| 4 | 3 | 2 | 1 | |
| УПД.1 | + | + | + | + |
| Усиление УПД.1 | 1, 2 | 1, 2, 3а | 1, 2, 3б | |