В информационной системе персональных данных (ИСПДн) должна обеспечиваться идентификация и аутентификация пользователей, являющихся работниками оператора, где:
- Идентификация - процесс распознавания пользователя по его идентификатору (учетная запись (логин) либо аппаратному средству аутентификации);
- Аутентификация - процедура проверки подлинности, доказательство что пользователь именно тот, за кого себя выдает;
- Авторизация - предоставление определённых прав.
При доступе в ИСПДн должна осуществляться идентификация и аутентификация пользователей, являющихся работниками оператора (внутренних пользователей), и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей.
К внутренним пользователям, относятся должностные лица оператора (пользователи, администраторы), выполняющие свои должностные обязанности (функции) с использованием информации, информационных технологий и технических средств ИСПДн в соответствии с должностными регламентами (инструкциями) утвержденными оператором и которым в ИСПДн присвоены учетные записи.
В качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и (или) оператора иной ИСПДн, а также лица, привлекаемые на договорной основе для обеспечения функционирования ИСПДн (ремонт, гарантийное обслуживание, регламентные и иные работы) и которым в ИСПДн также присвоены учетные записи.
Доступ пользователей в ИСПДн осуществляется после прохождения положительной идентификации (распознавания) и аутентификации (проверки) после ввода пользователем в диалоговом интерфейсе (автоматизированного рабочего места, телекоммуникационного устройства, программного обеспечения, базы данных, средства защиты информации) учетной записи пользователя (логина) и пароля.
Пользователи ИСПДн должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определены в Перечне действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации (мера УПД.11).
Идентификация и аутентификация осуществляется локально или централизованно с помощью организации единого пространства пользователей, на основе контролера домена Active Directory (служба каталогов) с использованием сетевого протокола сквозной доверенной аутентификации.
В ИСПДн должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами.
Идентификация и аутентификация пользователя на средстве вычислительной техники, входящего в состав ИСПД, обеспечивается совместным применением средств идентификации и аутентификации входящих в состав:
- операционной системы (семейств Windows либо Linux или т.п.);
- средства защиты информации от несанкционированного доступа (Dallas Lock либо Secret Net Studio или т.п.).
Усиление меры ИАФ.1
В ИСПДн многофакторная (двухфакторная) аутентификация обеспечивается
в следующих случаях:
- удаленного доступа системного администратора и (или) администратора безопасности с использованием сети связи общего пользования, в том числе информационно-телекоммуникационной сети «Интернет» (сеть «Интернет»)
- удаленного доступа пользователя с использованием сети связи общего пользования, в том числе сети «Интернет» ;
- локального доступа системного администратора и администратора безопасности.
Многофакторная аутентификация на средстве вычислительной техники, входящих в состав ИСПДн, для удаленного доступа к информационным ресурсам ИСПДн пользователя, системного администратора и администратора безопасности с использованием сети связи общего пользования, в том числе сети «Интернет» обеспечивается совместным применением средств идентификации и аутентификации входящих в состав:
- средства доверенной загрузки (программный аппаратный комплекс «Соболь» или т.п.);
- аппаратных средств аутентификации (iButton и иные USB-идентификаторы);
- операционной системы (семейств Windows либо Linux или т.п.);
- средства защиты информации от несанкционированного доступа (Dallas Lock либо Secret Net Studio или т.п.);
- средства криптографической защиты информации (ViPNet Client или т.п.).
Многофакторная аутентификация на средствах вычислительной техники, входящих в состав ИСПДн, для локального доступа к информационным ресурсам ИСПДн системного администратора и администратора безопасности обеспечивается совместным применением средств идентификации и аутентификации входящих в состав:
- средства доверенной загрузки (программный аппаратный комплекс «Соболь» или т.п.);
- аппаратных средств аутентификации (iButton и иные USB-идентификаторы);
- операционной системы (семейств Windows либо Linux или т.п.);
- средства защиты информации от несанкционированного доступа (Dallas Lock либо Secret Net Studio или т.п.).