В информационной системе персональных данных (ИСПДн) должно быть установлено и зафиксировано в организационно-распорядительных документах оператора персональных данных по защите персональных данных (задокументировано) ограничение количества неуспешных попыток входа в ИСПДн или доступа к ней в течение определенного периода времени, установленного оператором. Также должно быть обеспечено блокирование устройства, с которого предпринимаются попытки доступа, и (или) учетной записи пользователя в случае превышения этого ограничения. Ограничение количества неуспешных попыток входа в ИСПДн должно осуществляться в соответствии с ИАФ.4.
Примеры ограничений количества попыток неудачного входа в ИСПДн зависимости от уровня защищенности персональных данных (УЗ ПДн):
- 1 УЗ ПДн — от 3 до 4 попыток;
- 2 УЗ ПДн — от 3 до 8 попыток;
- 3 УЗ ПДн — от 3 до 10 попыток;
- 4 УЗ ПДн — от 3 до 10 попыток.
Требования к усилению УПД.6
- В ИСПДн должно быть реализовано автоматическое блокирование устройства, с которого предпринимаются попытки входа, и (или) учетной записи пользователя при превышении допустимого числа неуспешных попыток входа в систему за определенный период времени. Разблокировать эти учетные записи сможет только администратор или иное лицо, имеющее соответствующие полномочия (роль).
- В ИСПДн должно быть предусмотрено автоматическое удаление информации с мобильного технического средства, входящего в состав системы, в случае превышения допустимого числа неуспешных попыток входа с этого устройства за определенный период времени.
- В ИСПДн должно быть реализовано противодействие автоматизированному подбору паролей с использованием одноразовых кодов, требующих визуального распознавания (в том числе с использованием технологии CAPTCHA).
