Действующий

О методическом документе ФСТЭК России "Меры защиты информации в государственных информационных системах"

УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей


Требования к реализации УПД.1: Оператором должны быть установлены и реализованы следующие функции управления учетными записями пользователей, в том числе внешних пользователей:


определение типа учетной записи (внутреннего пользователя, внешнего пользователя; системная, приложения; гостевая (анонимная), временная и (или) иные типы записей);

объединение учетных записей в группы (при необходимости);

верификацию пользователя (проверка личности пользователя, его должностных (функциональных) обязанностей) при заведении учетной записи пользователя;

заведение, активация, блокирование и уничтожение учетных записей пользователей;

пересмотр и, при необходимости, корректировка учетных записей пользователей с периодичностью, определяемой оператором;

порядок заведения и контроля использования гостевых (анонимных) и временных учетных записей пользователей, а также привилегированных учетных записей администраторов;

оповещение администратора, осуществляющего управление учетными записями пользователей, об изменении сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях;

уничтожение временных учетных записей пользователей, предоставленных для однократного (ограниченного по времени) выполнения задач в информационной системе;

предоставление пользователям прав доступа к объектам доступа информационной системы, основываясь на задачах, решаемых пользователями в информационной системе и взаимодействующими с ней информационными системами.

Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования информационной системы, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к информационной системе).

Правила и процедуры управления учетными записями пользователей регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению УПД.1:

1) оператором должны использоваться автоматизированные средства поддержки управления учетными записями пользователей;

2) в информационной системе должно осуществляться автоматическое блокирование временных учетных записей пользователей по окончании установленного периода времени для их использования;

3) в информационной системе должно осуществляться автоматическое блокирование неактивных (неиспользуемых) учетных записей пользователей после периода времени неиспользования:

а) более 90 дней;

б) более 45 дней;

4) в информационной системе должно осуществляться автоматическое блокирование учетных записей пользователей:

а) при превышении установленного оператором числа неуспешных попыток аутентификации пользователя;

б) при выявлении по результатам мониторинга (просмотра, анализа) журналов регистрации событий безопасности действий пользователей, которые отнесены оператором к событиям нарушения безопасности информации;

5) в информационной системе должен осуществляться автоматический контроль заведения, активации, блокирования и уничтожения учетных записей пользователей и оповещение администраторов о результатах автоматического контроля.

Содержание базовой меры УПД.1:

Мера защиты

Класс защищенности информационной системы

информации

4

3

2

1

УПД.1

+

+

+

+

Усиление УПД.1

1, 2

1, 2, 3а

1, 2, 3б