Приказ ФСТЭК России № 21 от 18.02.2013

УЗП.2 Контроль соответствия фактического состава разблокированных учетных записей фактическому составу легальных субъектов логического доступа
3-О 2-О 1-Т

УЗП.16 Реализация контроля со стороны распорядителя логического доступа целесообразности дальнейшего предоставления прав логического доступа, не использованных субъектами на протяжении периода времени, указанного в мерах УЗП.14, УЗП.15 настоящей таблицы
3-О 2-О 1-О

УЗП.15 Установление фактов неиспользования субъектами логического доступа предоставленных им прав на осуществление логического доступа на протяжении периода времени, превышающего 45 дней
3-Н 2-Н 1-Т

УЗП.З Контроль отсутствия незаблокированных учетных записей:

УЗП.12 Контроль необходимости отзыва прав субъектов логического доступа при изменении их должностных обязанностей
3-О 2-О 1-О

УЗП.4 Контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения
3-О 2-О 1-О

УЗП.14 Установление фактов неиспользования субъектами логического доступа предоставленных им прав на осуществление логического доступа на протяжении периода времени, превышающего 90 дней
3-О 2-Т 1-Н

УЗП.13 Контроль прекращения предоставления логического доступа и блокирование учетных записей при истечении периода (срока) предоставления логического доступа
3-О 2-Т 1-Т

PR.AC-1: Для авторизованных устройств, пользователей и процессов выдаются, управляются, верифицируются, аннулируются и проверяются идентификационные и учетные данные

8.2.6
Defined Approach Requirements: 
Inactive user accounts are removed or disabled within 90 days of inactivity. 

Customized Approach Objective:
Inactive user accounts cannot be used 

Defined Approach Testing Procedures:

Purpose:
Accounts that are not used regularly are often targets of attack since it is less likely that any changes, such as a changed password, will be noticed. As such, these accounts may be more easily exploited and used to access cardholder data. 

Good Practice:
Where it may be reasonably anticipated that an account will not be used for an extended period of time, such as an extended leave of absence, the account should be disabled as soon as the leave begins, rather than waiting 90 days. 

8.2.2
Defined Approach Requirements: 
Group, shared, or generic accounts, or other shared authentication credentials are only used when necessary on an exception basis, and are managed as follows:

Customized Approach Objective:
All actions performed by users with generic, system, or shared IDs are attributable to an individual person. 

Applicability Notes:
This requirement is not intended to apply to user accounts within point-of-sale terminals that have access to only one card number at a time to facilitate a single transaction (such as IDs used by cashiers on point-of-sale terminals). 

Defined Approach Testing Procedures:

Purpose:
Group, shared, or generic (or default) accounts are typically delivered with software or operating systems—for example, root or with privileges associated with a specific function, such as an administrator. 
If multiple users share the same authentication credentials (for example, user account and password), it becomes impossible to trace system access and activities to an individual. In turn, this prevents an entity from assigning accountability for, or having effective logging of, an individual’s actions since a given action could have been performed by anyone in the group with knowledge of the user ID and associated authentication factors. 
The ability to associate individuals to the actions performed with an account is essential to provide individual accountability and traceability regarding who performed an action, what action was performed, and when that action occurred. 

Good Practice:
If shared accounts are used for any reason, strong management controls need to be established to maintain individual accountability and traceability.

Examples:
Tools and techniques can facilitate both management and security of these types of accounts and confirm individual user identity before access to an account is granted. Entities can consider password vaults or other systemmanaged controls such as the sudo command. An example of an exceptional circumstance is where all other authentication methods have failed, and a shared account is needed for emergency use or “break the glass” administrator access. 

8.2.2
Определенные Требования к Подходу:
Групповые, общие или общие учетные записи или другие общие учетные данные для проверки подлинности используются только при необходимости в исключительных случаях и управляются следующим образом:

Цель Индивидуального подхода:
Все действия, выполняемые пользователями с общими, системными или общими идентификаторами, относятся к отдельному лицу.

Примечания по применению:
Это требование не предназначено для применения к учетным записям пользователей в торговых терминалах, которые имеют доступ только к одному номеру карты одновременно для облегчения одной транзакции (например, идентификаторы, используемые кассирами в торговых терминалах).

Определенные Процедуры Тестирования Подхода:

Цель:
Групповые, общие или общие учетные записи (или учетные записи по умолчанию) обычно поставляются с программным обеспечением или операционными системами — например, root или с привилегиями, связанными с определенной функцией, например, с правами администратора.
Если несколько пользователей используют одни и те же учетные данные для аутентификации (например, учетную запись пользователя и пароль), становится невозможным отслеживать доступ к системе и действия отдельного пользователя. В свою очередь, это препятствует тому, чтобы организация назначала ответственность за действия отдельного лица или эффективно регистрировала их, поскольку данное действие могло быть выполнено любым членом группы, знающим идентификатор пользователя и связанные с ним факторы аутентификации.
Возможность привязывать отдельных лиц к действиям, выполняемым с помощью учетной записи, имеет важное значение для обеспечения индивидуальной подотчетности и отслеживания того, кто выполнил действие, какое действие было выполнено и когда это действие произошло.

Надлежащая практика:
Если по какой-либо причине используются общие учетные записи, необходимо установить строгий управленческий контроль для поддержания индивидуальной подотчетности и отслеживания.

Примеры:
Инструменты и методы могут облегчить как управление, так и безопасность этих типов учетных записей, а также подтвердить индивидуальную личность пользователя до предоставления доступа к учетной записи. Сущности могут использовать хранилища паролей или другие управляемые системой элементы управления, такие как команда sudo. Примером исключительного обстоятельства является ситуация, когда все другие методы аутентификации завершились неудачей, и общая учетная запись необходима для экстренного использования или доступа администратора “разбить стекло”.

8.2.6
Определенные Требования к Подходу:
Неактивные учетные записи пользователей удаляются или отключаются в течение 90 дней бездействия.

Цель Индивидуального подхода:
Неактивные учетные записи пользователей не могут быть использованы

Определенные Процедуры Тестирования Подхода:

Цель:
Учетные записи, которые не используются регулярно, часто становятся объектами атак, поскольку менее вероятно, что какие-либо изменения, такие как изменение пароля, будут замечены. Таким образом, эти учетные записи могут быть более легко использованы для доступа к данным о держателях карт.

Надлежащая практика:
Если можно обоснованно предположить, что учетная запись не будет использоваться в течение длительного периода времени, например, в течение длительного отпуска, учетная запись должна быть отключена сразу после начала отпуска, а не ждать 90 дней.

Disable local administrator accounts or assign passphrases that are random and unique for each computer’s local administrator account to prevent propagation using shared local administrator credentials.
Relative Security Effectiveness:  Excellent | Potential User Resistance:  Low | Upfront Cost:  Medium | Ongoing Maintenance Cost:  Low

Personnel management e.g. ongoing vetting especially for users with privileged access, immediately disable all accounts of departing users, and remind users of their security obligations and penalties.
Relative Security Effectiveness:  Very Good | Potential User Resistance:   High | Upfront Cost:  High | Ongoing Maintenance Cost:  High