В рамках информационной системы персональных данных (ИСПДн) необходимо обеспечить надежную идентификацию и аутентификацию пользователей, которые не являются сотрудниками оператора (внешних пользователей), а также процессов, выполняемых от их имени.
Идентификация (Identification) - это процесс распознавания пользователя по его уникальному идентификатору, или имени. Данная функция осуществляется, когда пользователь пытается войти в сеть. Пользователь сообщает системе свой идентификатор по её запросу, а система проверяет, есть ли этот идентификатор в своей базе данных.
Аутентификация (Authentication) - это процедура, которая позволяет убедиться в подлинности заявленного пользователя, процесса или устройства. Эта проверка гарантирует, что пользователь (процесс или устройство) действительно тот, за кого себя выдаёт. В процессе аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона также активно участвует в обмене информацией.
К категории внешних пользователей относятся все пользователи ИСПДн, не указанные в ИАФ.1 как внутренние пользователи. Примером таких пользователей могут служить граждане, которые на законных основаниях получают доступ к информационным ресурсам портала Государственных услуг Российской Федерации или официальным сайтам органов государственной власти через информационно-телекоммуникационную сеть "Интернет".
Все пользователи ИСПДн должны быть однозначно идентифицированы и аутентифицированы для всех видов доступа, за исключением тех, которые определены как разрешенные до идентификации и аутентификации в соответствии с мерой защиты персональных данных УПД.11.
Для идентификации и аутентификации внешних пользователей в целях предоставления государственных услуг может использоваться Единая система идентификации и аутентификации (ЕСИА), созданная в соответствии с постановлением Правительства Российской Федерации от 28.11.2011 №977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".
Правила и процедуры идентификации и аутентификации пользователей должны быть четко определены в организационно-распорядительных документах оператора персональных данных, касающихся защиты этих данных.
Требования к усилению ИАФ.6
Требования к усилению ИАФ.6 не установлены.
