Пояснительная записка (1209492), страница 7

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 7)

Работники отдела информационной безопасности или иные лица, в должностные обязанности которых входит обеспечение информационной безопасности, проводят постоянный выборочный контроль выполнения работниками Инспекции требований настоящих правил с соответствующими отметками в отдельном журнале. О фактах нарушения требований работники обязаны докладывать начальнику отдела информационной безопасности либо должностному лицу, в обязанности которого входит контроль обеспечения информационной безопасности.

В правилах используются термины и определения, установленные национальными стандартами в области защиты информации, термины и определения, установленные законодательством Российской Федерации об информации, информационных технологиях и о защите информации, а также термины и определения, приведенные в приложении 1 к настоящим правилам.

1. Идентификация и аутентификация субъектов доступа и объектов доступа

Ответственным за идентификацию и аутентификацию субъектов доступа и объектов доступа назначается администратор безопасности информации (далее – администратор безопасности).

1.1 Идентификация и аутентификация пользователей, являющихся работниками оператора

В информационной системе должна обеспечиваться идентификация и аутентификация пользователей, являющихся работниками оператора (для ИС 2, 3 и 4 класса защищенности – аналогично).

В информационной системе должна обеспечиваться двухфакторная аутентификация (по паролю и электронному USB-ключу eToken) для локального и удаленного доступа в систему с правами привилегированных учетных записей (администраторов) и с правами непривилегированных учетных записей (пользователей) с использованием сети связи общего пользования (для удаленного доступа), в том числе сети Интернет, а также для локального доступа (для ИС 2 класса защищенности – аналогично, кроме двухфакторной аутентификации для локального доступа в систему с правами пользователей, для ИС 3 и 4 класса защищенности – мера является необязательной).

Доступ к информационной системе должен сопровождаться идентификацией и аутентификацией пользователей, являющихся работниками оператора (внутренних пользователей), и процессов, запускаемых от имени этих пользователей, а также процессов, которые запускаются от имени системных учетных записей.

К внутренним пользователям, в целях настоящих правил, относятся должностные лица оператора (пользователи, администраторы), выполняющие свои должностные обязанности (функции) с использованием информации, информационных технологий, а также технических средств информационной системы на основании должностных регламентов (инструкций), утвержденных оператором, и которым в информационной системе присвоены учетные записи.

Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с пунктом 2.9 раздела 2 настоящих правил.

Аутентификация пользователя осуществляется с использованием комбинации пароля и электронного USB-ключа eToken. Идентификатор пользователя должен однозначно сопоставляться с запускаемыми от его имени процессами.

1.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

До начала информационного взаимодействия (передачи защищаемой информации от устройства к устройству) в информационной системе должна осуществляться идентификация и аутентификация устройств (технических средств) (для ИС 2 класса защищенности – аналогично, для ИС 3 и 4 классов защищенности – необязательно).

Администратором безопасности определен перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации до начала информационного взаимодействия (типовая форма перечня приведена в таблице А.1.2.1).

Таблица А.1.2.1 – Перечень типов устройств

Идентификация устройств (рабочих станций, серверов, принтеров и сканеров) в информационной системе обеспечивается по логическим именам (имя устройства), логическим адресам (IP-адресам) или по комбинации имени и адреса устройства.

1.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

Установить и реализовать следующие функции управления идентификаторами пользователей и устройств в информационной системе (для ИС 2, 3 и 4 классов защищенности – аналогично):

• формирование идентификатора, который однозначно идентифицирует устройство и (или) пользователя;

• присвоение идентификатора пользователю и (или) устройству;

• предотвращение повторного использования идентификатора пользователя и (или) устройства в течение не менее 3 лет (для ИС 2, 3 и 4 классов защищенности – не менее одного года);

• блокирование идентификатора пользователя после установленного оператором времени неиспользования – не более 45 дней (для ИС 2, 3 и 4 классов защищенности – не более 90 дней).

1.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

Установить и реализовать следующие функции управления средствами аутентификации (аутентификационной информацией) устройств и пользователей в информационной системе (для ИС 2, 3 и 4 классов защищенности – аналогично):

• изменение аутентификационной информации (логинов и паролей) и средств аутентификации, заданных их производителями и (или) используемых при внедрении системы защиты информации информационной системы;

• выдача средств аутентификации пользователям;

• генерация и выдача начальной аутентификационной информации (начальных значений средств аутентификации);

• установление характеристик пароля (когда используются механизмы аутентификации на основе пароля):

• длина пароля не менее восьми символов;

• максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток;

• алфавит пароля не менее 70 символов (приведен в таблице А.1.4.1);

• смена паролей не более чем через 60 дней;

• блокировка учетной записи или только программно-технического средства пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут.

Таблица А.1.4.1 – Алфавит пароля

Еще одной функцией управления средствами аутентификации (аутентификационной информацией) устройств и пользователей в информационной системе является защита аутентификационной информации от неправомерного доступа к ней и модифицировании. Такая защита обеспечивается с помощью механизмов аутентификации. В качестве уникального признака, обеспечивающего реализацию механизмов аутентификации, могут быть использованы:

• секретная информация в виде последовательности символов некоторого конечного алфавита (пароль) (требования к выбору пароля определены выше);

• уникальный, не допускающий копирования предмет (электронный USB-ключ eToken), который обладает уникальным идентификатором (ID eToken’а). Этот параметр электронного USB-ключа используется для идентификации пользователя, владеющего данным электронным ключом. В рамках настоящих правил в Инспекции принимается двухфакторная аутентификация с помощью электронногоUSB-ключа eToken. Для подтверждения своей личности пользователь не только должен предъявить электронный ключ, но и ввести пароль. В такой процедуре используются два фактора — владение уникальным электронным USB-ключом и знание пароля).

Последней функцией управления средствами устройств и пользователей служит обновление аутентификационной информации (замена средств аутентификации) не более чем через 60 дней.

При изменении класса защищенности характеристики пароля изменятся:

• для ИС 2 класса защищенности:

• длина пароля не менее шести символов;

• максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток;

• алфавит пароля не менее 70 символов;

• смена паролей не более чем через 90 дней;

• блокировка учетной записи или только программно-технического средства пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут.

• для ИС 3 класса защищенности:

• длина пароля не менее шести символов;

• максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток;

• алфавит пароля не менее 60 символов;

• смена паролей не более чем через 120 дней;

• блокировка учетной записи или только программно-технического средства пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 5 до 30 минут.

• для ИС 4 класса защищенности:

• длина пароля не менее шести символов;

• максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток;

• алфавит пароля не менее 30 символов;

• смена паролей не более чем через 180 дней;

• блокировка учетной записи или только программно-технического средства пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 3 до 15 минут.

1.5 Защита обратной связи при вводе аутентификационной информации

В процессе ввода в информационной системе аутентификационной информации должна осуществляться защита от возможного использования неуполномоченными лицами (для ИС любого класса защищенности – аналогично).

Характеристики

Список файлов ВКР