Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Карточка защитной меры
Меры Утверждение Регламента идентиф...
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Утверждение Регламента идентификации и аутентификации в объектах КИИ

1 1 14
Цель: определение и установление общих правил, требований и процедур идентификации и аутентификации при разработке, внедрении и совершенствовании правил, механизмов и технологий управления доступом к:
  • значимым объектам критической информационной инфраструктуры (ЗОКИИ);
  • объектам критической информационной инфраструктуры (ОКИИ), не отнесенным к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры.
Регламент описывает требования и процедуры идентификации и аутентификации при управления доступом к ОКИИ (ЗОКИИ) и определяет:
  • общие требования в отношении объектов и субъектов доступа.
  • общие требования в отношении создаваемых идентификаторов доступа;
  • общие требования к присвоению и уничтожению идентификаторов доступа;
  • управление средствами аутентификации.
  • действия при компрометации.
Рекомендации к заполнению карточки:
Приложите скан-копию Регламента в Реестр документов по защите информации (в модуле активов SECURITM). Укажите созданный актив в качестве инструмента к данной защитной мере.
Область действия: Вся организация
Классификация
Тип
Организационная ?
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено

Для просмотра файла необходимо авторизоваться!
Регламент идентификации и аутентификации в объектах КИИ.docx

Ресурсная оценка

Качественная оценка

Количественная оценка

Итоговая оценка

Стоимость

Трудозатраты

Сложность

Стоимость, тыс. руб

Трудозатраты, дней/ год

CAPEX

?
Отсутствует
Низкие
Низкая
0
1
4 - Низкая

OPEX

?
Отсутствует
Низкие
Низкая
0
1

Заметки

1
5 дней назад
Community

Регламент идентификации и аутентификации в объектах критической информационной инфраструктуры [наименование организации]

1. Общие сведения
1.1. Настоящий Регламент разработан с учетом положений следующих документов:
  • Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  • Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
  • Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
  • Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  • Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения».
1.2. Целью разработки данного Регламента является [наименование организации]общих правил, требований и процедур идентификации и аутентификации при разработке, внедрении и совершенствовании правил, механизмов и технологий управления доступом к:
  • значимым объектам критической информационной инфраструктуры (далее – ЗОКИИ);
  • объектам критической информационной инфраструктуры, не отнесенным к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры (далее – ОКИИ).
2. Термины и определения
2.1. Термины и определения, применяемые для целей настоящего регламента:
  • Аутентификационная информация (информация аутентификации) – информация, используемая для установления подлинности (верификации) субъекта доступа в информационной (автоматизированной) системе.
  • Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности субъекта доступа в информационной (автоматизированной) системе).
  • Значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
  • Идентификатор доступа (идентификатор) – уникальный признак субъекта или объекта доступа (представление (строка символов), однозначно идентифицирующий субъект и (или) объект доступа в информационной (автоматизированной) системе).
  • Идентификация – присвоение субъектам доступа, объектам доступа идентификаторов (уникальных имен) и (или) сравнение предъявленного идентификатора с перечнем присвоенных идентификаторов.
  • Критическая информационная инфраструктура (КИИ) – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
  • Несанкционированный доступ (НСД) – доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа.
  • Объект доступа – единица информационного ресурса информационной (автоматизированной) системы (файл, техническое средство, узел сети, линия (канал) связи, мобильное устройство, программа, том, каталог, запись, поле записей и иные объекты), доступ к которой регламентируется правилами разграничения доступа и по отношению к которой субъекты доступа выполняют операции.
  • Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления.
  • Пароль – идентификатор субъекта доступа, который является его (субъекта) секретом.
  • Пользователь – лицо, которому разрешено выполнять некоторые действия (операции) по обработке информации в информационной (автоматизированной) системе или использующее результаты ее функционирования.
  • Субъект доступа – пользователь, процесс, выполняющие операции (действия) над объектами доступа и действия которых регламентируются правилами разграничения доступа.
  • Управление доступом – ограничение и контроль доступа субъектов доступа к объектам доступа в информационной системе в соответствии с установленными правилами разграничения доступа.

3. Цель и задачи реализации процессов идентификации и аутентификации
3.1. Целью реализации процессов идентификации и аутентификации в ЗОКИИ и ОКИИ является распознавание субъекта доступа с необходимой уверенностью в том, что он является именно тем, за кого себя выдает.
3.2. Реализация процессов идентификации и аутентификации в ЗОКИИ и ОКИИ достигается решением следующих задач:
  • формирование и регистрация информации о субъекте (объекте) доступа, а также присвоение субъекту (объекту) доступа идентификатора доступа и его регистрация в перечне присвоенных идентификаторов;
  • хранение и поддержание в актуальном состоянии (обновление) идентификационной и аутентификационной информации субъекта (объекта) доступа в соответствии с установленными правилами;
  • опознавание субъекта доступа, запросившего доступ к объекту доступа, по предъявленному идентификатору;
  • аутентификация, включающая проверку подлинности субъекта (объекта) доступа и принадлежности ему предъявленных идентификатора и аутентификационной информации.
4. Общие требования
4.1. Процессы идентификации и аутентификации в ЗОКИИ и ОКИИ подлежат реализации при управлении доступом к следующим частям ЗОКИИ и ОКИИ:
  • автоматизированные рабочие места;
  • серверы;
  • интерфейс управления микропрограммным обеспечением BIOS/UEFI;
  • прикладное программное обеспечение.
4.2. Идентификация и аутентификация должна осуществляться в отношении:
  • пользователей ЗОКИИ и ОКИИ, являющихся сотрудниками [наименование организации];
  • пользователей ЗОКИИ и ОКИИ, не являющихся сотрудниками [наименование организации];
  • процессов, запускаемых от имени пользователей;
  • процессов, запускаемых от имени системных учетных записей;
  • устройств (технических средств), участвующих в информационном взаимодействии.
4.3. Процессы, запускаемые от имени пользователя, должны однозначно сопоставляться с идентификатором пользователя.
4.4. В качестве идентификатора пользователя при доступе должен использоваться набор буквенно-цифровых символов (логин).
4.5. В ЗОКИИ и ОКИИ должен использоваться механизм аутентификации на основе пароля.

5. Требования к созданию, присвоению и уничтожению идентификаторов
5.1. Создание, присвоение и уничтожение идентификатора должно осуществляться лицом, ответственным за управление (администрирование) подсистемой безопасности ЗОКИИ (ОКИИ) (далее – Ответственный).
5.2. Ответственный обеспечивает однозначную идентификацию пользователя и (или) устройства путем формирования уникального персонального идентификатора.
5.3. Повторное использование идентификатора пользователя не допускается в течение [указать необходимый срок]со дня уничтожения.
5.4. Блокирование идентификатора пользователя должно осуществляться после [указать необходимый срок]неиспользования.
5.5. Идентификация устройств должна обеспечиваться одним или комбинацией следующих способов:
  • по логическому имени (имя устройства и (или) ID);
  • по логическому адресу (например, IP-адресу);
  • по физическому адресу (например, МАС-адресам) устройства.
5.6. Уничтожение идентификатора пользователя производится при прекращении полномочий (увольнении) сотрудника.

6. Управление средствами аутентификации
6.1. Генерация (назначение) паролей:
6.1.1. Генерация и выдача начальной аутентификационной информации (пароля) пользователю осуществляется Ответственным.
6.1.2. Средства, реализующие идентификацию и аутентификацию пользователей, должны обеспечивать настройку следующих характеристик паролей:
  • Минимальная длина пароля: 10 
    Минимальное количество знаков, которое должно содержаться в пароле
  • Соответствие требованиям к сложности пароля: Включено 
    Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков. Содержать знаки минимум трех из четырех перечисленных категорий: латинские заглавные буквы (от A до Z); латинские строчные буквы (от a до z); цифры (от 0 до 9); специальные символы (например, !, $, #, %).
  • Максимальный срок действия пароля: 30 дней 
    Период времени (в днях), в течение которого можно использовать пароль, пока система не потребует от пользователя сменить его
  • Максимальное количество неуспешных попыток аутентификации: 5
    Максимальное количество неуспешных попыток ввода неправильного пароля до блокировки
  • Минимальное количество измененных символов при создании новых паролей: 5
    Минимальное количество символов, которые требуется изменить при создании нового пароля по отношению к старому паролю
  • Журнал паролей: 4 
    При создании новых паролей запрещается использование пользователями определенного количества последних использованных паролей
6.2. Хранение паролей:
6.2.1. Средства, реализующие идентификацию и аутентификацию, должны обеспечивать защиту аутентификационной информации от несанкционированного доступа к ней и ее модификации.
6.3. Порядок смены аутентификационной информации:
6.3.1. Смена паролей производится на плановой и внеплановой основе.
6.3.2. Плановая смена паролей осуществляется при истечении максимального срока действия пароля.
6.3.3. Внеплановая смена паролей осуществляется в следующих случаях:
  • компрометация или подозрение на компрометацию пароля;
  • прекращение полномочий (увольнение, изменение обязанностей и другие обстоятельства) сотрудников, ответственных за обеспечение безопасности ЗОКИИ (ОКИИ);
  • по указанию администратора безопасности ЗОКИИ (ОКИИ).
7. Действия при компрометации аутентификационной информации
7.1. Компрометация действующих паролей является внештатной ситуацией.
7.2. Обо всех фактах компрометации Ответственный должен немедленно уведомить сотрудников [наименование организации], ответственных за выявление компьютерных инцидентов в ЗОКИИ (ОКИИ) и реагирование на них.
7.3. Скомпрометированные пароли и связанные с ними персональные идентификаторы (логины) пользователей блокируются при обнаружении факта компрометации.

8. Ответственность
8.1. Ответственные за управление (администрирование) подсистемой безопасности ЗОКИИ и ОКИИ несут персональную ответственность за ненадлежащее исполнение или неисполнение требований, предусмотренных настоящим регламентом.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.