Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах

Требования к реализации: В информационной системе должен быть установлен перечень действий субъектов доступа, разрешенных до прохождения ими процедур идентификации и аутентификации в соответствии с мерами защиты информации ИАФ.1 — ИАФ.4, и запрет действий субъектов доступа, не включенных в перечень разрешенных действий, до прохождения ими процедур идентификации и аутентификации.

В информационной системе должен быть определен перечень действий привилегированных субъектов доступа (администраторов, администраторов безопасности, технических специалистов), осуществление которых допускается в обход установленных процедур идентификации и аутентификации, необходимых для восстановления функционирования информационной системы в случае сбоев в работе или выхода из строя отдельных технических средств (устройств).

Все действия, выполняемые без прохождения процедуры идентификации и аутентификации, должны регистрироваться в журналах регистрации событий безопасности, за исключением доступа к общедоступным сведениям, подлежащим опубликованию в открытом доступе на компонентах информационной системы.

Перечень действий субъектов доступа, разрешенных до идентификации и аутентификации, должен пересматриваться не реже 1 раза в год и после изменений модели доступа в информационной системе.