Оператор персональных данных должен определить и реализовать следующие функции управления средствами аутентификации (аутентификационной информацией) пользователей и устройств в информационной системе персональных данных (ИСПДн):
- Назначение должностного лица (администратора) оператора, ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае их утраты или компрометации.
- Изменение аутентификационной информации (средств аутентификации), заданных их производителями и используемых при внедрении системы защиты персональных данных ИСПДн.
- Выдача средств аутентификации пользователям.
- Генерация и выдача начальной аутентификационной информации (начальных значений средств аутентификации).
- Установление характеристик пароля (при использовании в ИСПДн механизмов аутентификации на основе пароля):
– Задание минимальной сложности пароля в соответствии с определяемыми оператором требованиями к регистру, количеству символов и сочетанию букв верхнего и нижнего регистра, цифр и специальных символов.
– Установление минимального количества измененных символов при создании новых паролей.
– Определение максимального и минимального времени действия пароля.
– Запрет на использование пользователями определенного оператором числа последних использованных паролей при создании новых. - Блокирование (прекращение действия) и замена утерянных, скомпрометированных или поврежденных средств аутентификации.
- Назначение необходимых характеристик средств аутентификации, включая механизм пароля.
- Обновление аутентификационной информации (замена средств аутентификации) с периодичностью, установленной оператором персональных данных.
- Защита аутентификационной информации от неправомерного доступа и модифицирования.
Правила и процедуры управления средствами аутентификации должны быть регламентированы в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
Требование к усилению ИАФ.4
- В случае использования в ИСПДн механизмов аутентификации на основе пароля или применения пароля в качестве одного из факторов многофакторной аутентификации, его характеристики должны быть следующими:
а) Длина пароля не менее шести символов, алфавит пароля не менее 30 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 3 до 15 минут, смена паролей не более чем через 180 дней.
б) Длина пароля не менее шести символов, алфавит пароля не менее 60 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 5 до 30 минут, смена паролей не более чем через 120 дней.
в) Длина пароля не менее шести символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут, смена паролей не более чем через 90 дней.
г) Длина пароля не менее восьми символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут, смена паролей не более чем через 60 дней. - В ИСПДн должно быть обеспечено использование автоматизированных средств для формирования аутентификационной информации (генераторов паролей) с требуемыми характеристиками стойкости (силы) механизма аутентификации и для оценки характеристик этих механизмов.
- В ИСПДн должно быть предусмотрено использование серверов и программного обеспечения аутентификации для обеспечения единой аутентификации в компонентах информационной системы и компонентах программного обеспечения, предусматривающего собственную аутентификацию.
- Оператор персональных данных должен запросить у поставщика технических средств и программного обеспечения ИСПДн аутентификационную информацию, заданную производителем этих технических средств и программного обеспечения и не указанную в эксплуатационной документации.
- Оператор должен определить меры по исключению возможности использования пользователями их идентификаторов и паролей в других ИСПДн.
