Оператор персональных данных обязан установить и реализовать следующие функции управления идентификаторами пользователей и устройств в рамках информационной системы персональных данных (ИСПДн):
- Определить должностное лицо (администратора), ответственное за создание, присвоение и уничтожение идентификаторов.
- Сформировать уникальный идентификатор, который однозначно идентифицирует пользователя или устройство.
- Присвоить идентификатор пользователю или устройству.
- Предотвратить повторное использование идентификатора пользователя или устройства в течение установленного оператором периода времени.
- Блокировать идентификатор пользователя после периода неиспользования, определенного оператором персональных данных.
Правила и процедуры управления идентификаторами должны быть четко прописаны в организационно-распорядительных документах оператора по защите персональных данных.
Требование к усилению ИАФ.3
- Оператор персональных данных должен исключить повторное использование идентификатора пользователя в течение:
а) не менее одного года;
б) не менее 3 (трех) лет;
в) на протяжении всего периода эксплуатации ИСПДн. - Оператор должен обеспечить блокировку идентификатора пользователя через определенный период неиспользования:
а) не более 90 дней;
б) не более 45 дней. - Оператор должен использовать различные средства аутентификации пользователя для входа в ИСПДн и доступа к прикладному (специальному) программному обеспечению.
- Оператор должен исключить возможность использования идентификатора пользователя ИСПДн при создании учетной записи для публичной электронной почты или других публичных сервисов.
- Оператор должен управлять идентификаторами внешних пользователей, учетные записи которых используются для доступа к общедоступным ресурсам ИСПДн.
