Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах

Требования к реализации: В информационной системе должна осуществляться идентификация пользователей, получающих доступ к информационной системе со средств вычислительной техники (в том числе автоматизированных рабочих мест, конечных устройств, мобильных устройств) для выполнения возложенных на пользователей обязанностей (функций) (далее – внутренние пользователи).

Ко внутренним пользователям относятся работники оператора (обладателя информации), заказчика информационной системы, а также подведомственных ему государственных органов и организаций при их наличии (непривилегированные пользователи, привилегированные пользователи, в том числе главный администратор, администраторы информационной системы, администраторы безопасности), выполняющие свои обязанности (функции) с использованием информации, информационных технологий и средств вычислительной техники информационной системы в соответствии с внутренними стандартами и регламентами по защите информации и которым в информационной системе присвоены учетные записи.

В качестве внутренних пользователей также рассматриваются работники подрядных организаций, привлекаемые на договорной основе для оказания услуг, проведения работ по обработке, хранению информации, созданию (развитию), обеспечению эксплуатации информационных систем, а также для выполнения работ, оказания услуг по защите информации (разработка и тестирование программного обеспечения, обеспечение функционирования информационных систем или защита содержащейся в них информации) и которым в информационной системе также присвоены учетные записи.

При доступе в информационную систему должна осуществляться идентификация пользователей, получающих доступ к информационной системе со средств вычислительной техники, не входящих в состав информационной системы или для которых оператором информационной системы не могут устанавливаться и контролироваться требования о защите информации (далее – внешние пользователи).

Примером внешних пользователей являются граждане, на законных основаниях через сеть «Интернет» получающие доступ к информационным ресурсам Единого портала государственных и муниципальных услуг (функций) или официальным сайтам в сети «Интернет» органов государственной власти, физические и юридические лица, осуществляющие доступ к информационным системам для получения информации с применением учетных записей или без них (анонимные пользователи).

Требования к документированию: В эксплуатационной документации[10] на информационную систему должны быть определены:

[10] Национальный стандарт Российской Федерации ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».

Требования к реализации: В информационной системе должен быть определен перечень типов сетевых устройств (в том числе серверы, автоматизированные рабочие места, телекоммуникационное оборудование, мобильные устройства, системы хранения данных), используемых в информационной системе.

Идентификации подлежат:

Процесс идентификации должен осуществляться в два этапа — первичная идентификация и вторичная идентификация[11].

В ходе первичной идентификации в информационной системе должны быть определены уникальные признаки (атрибуты) каждого устройства (идентификационные данные). В качестве признаков (атрибутов) устройств могут использоваться логические имена (имя устройства и (или) ID), логические адреса (например, IP-адреса) и (или) физические адреса (например, МАС-адреса) устройств или их комбинации.

Каждому устройству информационной системы должен быть присвоен уникальный идентификатор или их комбинация для доступа в информационные системы.

Первичная идентификация устройств осуществляется единожды при регистрации каждого нового устройства.

Основанием для отказа в первичной идентификации является несоответствие заявленных идентификационных данных требованиям к первичной идентификации или невозможность их подтверждения в установленном порядке.

По результатам первичной идентификации у оператора должен быть сформирован перечень всех идентификаторов устройств, используемых в информационной системе.

В ходе вторичной идентификации выполняется проверка наличия у устройства, от имени которого осуществляется запрос доступа в информационную систему, идентификатора доступа.

Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:

1. проведение инвентаризации идентификационных данных в информационной системе устройств не реже чем один раз в два года для информационных систем 1 класса защищенности;

2. проведение инвентаризации идентификационных данных в информационной системе устройств не реже чем один раз в три года для информационных систем 2 и 3 классов защищенности;

3. применение вспомогательных атрибутов (электронных идентификаторов с уникальным машиночитаемым номером, встроенных модулей безопасности, средств доверенной загрузки);

4. реализация системы централизованного управления жизненным циклом цифровых сертификатов, электронных идентификаторов, встроенных модулей безопасности;

5. для информационных систем с доменной архитектурой:

Требования к реализации: Аутентификация пользователей должна проводиться после их идентификации в информационной системе.

Пользователи информационной системы должны однозначно аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с мерой защиты информации УПД.9.

Аутентификация пользователей осуществляется с учетом положений национальных стандартов ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения» и ГОСТ Р 70262.2-2025 «Идентификация и аутентификация. Уровни доверия аутентификации».

Аутентификация для пользователя должна производиться при каждом запросе на доступ в информационную систему, а также к ресурсам (объектам защиты) информационной системы. Например, при входе в информационную систему пользователь проходит аутентификацию в операционной системе, а затем аутентификацию при запросе на доступ к ресурсам информационной системы, под которыми понимаются системы управления базами данных, веб-порталы, системы электронного документооборота и иные ресурсы.
При локальном доступе в информационную систему, а также к ресурсам (объектам защиты) информационной системы внутреннего непривилегированного пользователя должна как минимум осуществляться простая (парольная) аутентификация.
При использовании простой (парольной) аутентификации пользователей для доступа в информационную систему и к ресурсам (объектам защиты) информационной системы длина пароля должна быть не менее 12 символов. Алфавит паролей не менее 70 символов, максимальное количество неуспешных попыток ввода неправильного пароля до блокировки учетной записи пользователя – 5, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации на 15 минут, смена паролей не более чем через 90 дней. Запрещается повторно использовать пароль для доступа в информационную систему и к ресурсам (объектам защиты) информационной системы.
Защита обратной связи «система-пользователь» в процессе простой (парольной) аутентификации обеспечивается исключением отображения для пользователя действительного значения аутентификационной информации и (или) количества вводимых пользователем символов аутентификационной информации. Вводимые символы пароля могут отображаться условными знаками «*», «•» или иными знаками.
Усиленная аутентификация пользователей должна осуществляться при следующих условиях:

При доступе в информационную систему, а также к ресурсам (объектам защиты) информационной системы внешнего непривилегированного пользователя должна осуществляться простая (парольная) аутентификация.
При доступе в информационную систему, а также к ресурсам (объектам защиты) информационной системы внутреннего непривилегированного пользователя с мобильных устройств, входящих в состав информационной системы, и с личных мобильных устройств должна осуществляться усиленная аутентификация.
Удаленный доступ в информационную систему, а также к ресурсам (объектам защиты) информационной системы внутренних привилегированных пользователей с личных мобильных устройств не допускается.
В таблице определены виды аутентификации, минимально необходимые для разных типов пользователей и условий доступа в информационную систему в зависимости от класса защищённости.
1. Тип пользователя
Внутренний пользователь

Тип доступа
Локальный
Права доступа
Непривилегированный
Вид аутентификации
К3 П
К2 У
К1 У
Тип доступа
Удалённый
Права доступа
Непривилегированный
Вид аутентификации
К3 У
К2 У
К1 У
2. Тип пользователя
Внутренний пользователь
Тип доступа
Локальный
Права доступа
Привилегированный
Вид аутентификации
К3 У
К2 У
К1 У
Тип доступа
Удалённый
Права доступа
Привилегированный
Вид аутентификации
К3 У
К2 У
К1 У
3. Тип пользователя
Внутренний пользователь с мобильного устройства

Тип доступа
Удаленный
Права доступа
Непривилегированный
Вид аутентификации
К3 П
К2 У
К1 У
4. Тип пользователя
Внешний пользователь

Тип доступа
Удаленный
Права доступа
Непривилегированный
Вид аутентификации
К3 П
К2 У
К1 У
Принятые обозначения:

П – простая (парольная) аутентификация;

У – усиленная (двухфакторная) аутентификация.

Аутентификация внешних пользователей в целях предоставления государственных услуг осуществляется в том числе с использованием единой системы идентификации и аутентификации, созданной в соответствии с постановлением Правительства Российской Федерации от 28 ноября 2011 г.№ 977.

В информационной системе должна обеспечиваться блокировка доступа к информационной системе для пользователей, не прошедших процедуру аутентификации.

В информационной системе должно быть реализовано управление аутентификаторами (аутентификационной информацией) пользователей, включающее:

Аутентификация пользователей обеспечивается применением входящих в состав информационной системы операционной системы, и (или) средств защиты информации от несанкционированного доступа, и (или) средств защиты информации, обеспечивающих управление аутентификационной информацией.

Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:

1. при реализации усиленной аутентификации привилегированного пользователя при удаленном доступе требуется наличие у пользователя второго фактора аутентификации — одноразового пароля, создаваемого с применением устройства аутентификации, находящего во владении пользователя;

2. при реализации усиленной аутентификации привилегированного пользователя при удаленном доступе требуется наличие у пользователя второго фактора аутентификации – владения физическим (аппаратным) устройством, знание секрета, подтверждающего право владения (распоряжения) этим устройством и (или) его биометрические данные;

3. при локальном доступе в информационную систему, а также к ресурсам (объектам защиты) информационной системы внутреннего непривилегированного пользователя должна осуществляться усиленная аутентификация;

4. при доступе в информационную систему, а также к ресурсам (объектам защиты) информационной системы внешнего пользователя должна осуществляться усиленная аутентификация;

5. при удаленном доступе в информационную систему, а также к ресурсам (объектам защиты) информационной системы внутреннего непривилегированного пользователя должна осуществляться строгая аутентификации;

6. при удаленном доступе в информационную систему, а также к ресурсам (объектам защиты) информационной системы внутреннего привилегированного пользователя должна осуществляться строгая аутентификация;

7. в информационной системе должны использоваться автоматизированные средства, обеспечивающие контроль правил генерации и смены паролей пользователей;

8. в информационной системе должны применяться средства централизованного управления аутентификаторами (аутентификационной информацией) пользователей;

9. устройства аутентификации не должны входить в состав объекта доступа (в том числе средство вычислительной техники, конечное устройство, мобильное устройство) и должны быть физически отделены от него;

10. при реализации строгой аутентификации требуется наличие у пользователя второго фактора аутентификации – владения физическим (аппаратным) устройством с поддержкой криптографии, неизвлекаемым закрытым ключом, энергонезависимой памятью для хранения цифровых сертификатов, а также знание секрета (ПИН-кода устройства). Срок действия цифровых сертификатов при использовании аппаратных средств аутентификации с неизвлекаемым закрытым ключом не должен превышать 3 лет, в остальных случаях - не более 1 года. Для реализации строгой аутентификации в информационной системе с доменной архитектурой должны быть развернуты корпоративный центр выпуска, обслуживания и валидации цифровых сертификатов доступа (центр сертификации), система централизованного управления жизненным циклом цифровых сертификатов и средств аутентификации. На клиентской стороне должна быть обеспечена поддержка необходимых криптографических протоколов аутентификации (например, Kerberos, TLS) с использованием цифровых сертификатов и средств строгой аутентификации. При отсутствии (или невозможности) взаимодействия с центром сертификации, выполняющим функцию третьей доверенной стороны, информационная система может использовать списки действительных и аннулированных (отозванных) сертификатов или другие методы проверки аутентификационной информации. Для информационных систем, в состав которых входит менее 50 рабочих мест, в которых отсутствует домен безопасности и центр сертификации, для внутренних пользователей допускается применение усиленной аутентификации с использованием компенсирующих мер защиты информации, усиливающих привязку пользователя к используемому им физическому (аппаратному) средству аутентификации. Например, использование биометрии или мобильного телефона пользователя в качестве второго фактора с установленным приложением-генератором одноразовых паролей, получением SMS, push-уведомлений;

11. в информационной системе должны быть определены меры по исключению возможности использования пользователями их идентификаторов и аутентификационной информации в других информационных системах.

Требования к реализации: Аутентификация устройства должна проводиться после идентификации устройства и его регистрации в информационной системе.

Аутентификация для каждого устройства должна производиться при каждом запросе на его подключение к информационной системе и до начала информационного взаимодействия с ней. 

Подключение к информационной системе устройств, не прошедших процедуру аутентификации, не допускается.

В информационной системе должны быть определены способ аутентификации устройств и применяемые протоколы аутентификации. В процессе аутентификации устройств должны использоваться поддерживаемые ими протоколы аутентификации (например, EAP, 802.1х, CMP, EST, ACME, MS-WSTEP, TLS, DTLS и другие протоколы аутентификации).

Аутентификация устройств обеспечивается применением входящих в состав информационной системы операционной системы, средств защиты информации от несанкционированного доступа. Реализация меры по аутентификации устройств достигается применением одного или совокупности программных, программно-аппаратных средств.

Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:

1. смена аутентификационных данных устройств не реже чем один раз в год;

2. реализация аутентификации устройств с использованием криптографических протоколов аутентификации;

3. реализация аутентификации с использованием третьей доверенной стороны (корпоративного центра сертификации);

4. использование системы централизованного управления жизненным циклом цифровых сертификатов, электронных идентификаторов, встроенных модулей безопасности.