Оператору персональных данных необходимо установить и реализовать ряд функций для управления учетными записями пользователей, включая тех, кто обращается извне. В их числе:
- Определение типа учетной записи: внутренний пользователь, внешний пользователь, системная, для приложений, гостевая (анонимная), временная и другие.
- Объединение учетных записей в группы по мере необходимости.
- Верификация пользователей: проверка личности и должностных обязанностей при создании учетной записи.
- Заведение, активация, блокирование и уничтожение учетных записей пользователей.
- Регулярный пересмотр и, при необходимости, корректировка учетных записей с периодичностью, определенной оператором.
- Порядок создания и контроля использования гостевых (анонимных) и временных учетных записей, а также привилегированных учетных записей администраторов.
- Оповещение администратора об изменениях в информации о пользователях, их ролях, обязанностях, полномочиях и ограничениях.
- Уничтожение временных учетных записей, созданных для однократного использования в информационной системе персональных данных (ИСПДн).
- Предоставление пользователям прав доступа к объектам доступа в ИСПДн на основе задач, которые они решают в системе и взаимодействующих с ней информационных системах.
Временная учетная запись может быть создана для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для настройки и тестирования ИСПДн, а также для организации гостевого доступа (для посетителей, сотрудников сторонних организаций, стажеров и других пользователей с временным доступом к системе).
Правила и процедуры управления учетными записями пользователей должны быть четко регламентированы в организационно-распорядительных документах оператора персональных данных по защите информации.
Требования к усилению УПД.1
- Оператору следует использовать автоматизированные средства поддержки управления учетными записями пользователей.
- В ИСПДн должно быть предусмотрено автоматическое блокирование временных учетных записей пользователей по истечении установленного периода их использования.
- В системе также должно осуществляться автоматическое блокирование неактивных учетных записей после определенного периода неиспользования:
а) более 90 дней;
б) более 45 дней. - Учетные записи пользователей также должны блокироваться автоматически в следующих случаях:
а) если число неуспешных попыток аутентификации пользователя превышает установленное оператором количество;
б) если по результатам мониторинга журналов регистрации событий безопасности были выявлены действия пользователей, отнесенные оператором к нарушениям безопасности информации. - В ИСПДн должен быть предусмотрен автоматический контроль за созданием, активацией, блокированием и уничтожением учетных записей пользователей, а администраторы должны получать уведомления о результатах этого контроля.
