Приложение N 8. Положение по идентификации и аутентификации пользователей в государственной информационной системе "Реестр информационных систем Красноярского края" министерства цифрового развития Красноярского края. Приказ министерства цифрового развития Красноярского края от 21.01.2022 N 73-4-2022 "Об утверждении инструкций и положений к государственной информационной системе "Реестр информационных систем Красноярского края"

Приложение N 8

к приказу министерства цифрового

развития Красноярского края

от 21.12.2022 N 73-4-2022

Положение
по идентификации и аутентификации пользователей в государственной информационной системе "Реестр информационных систем Красноярского края" министерства цифрового развития Красноярского края

1. Общие положения

Настоящее Положение предназначено для использования в государственной информационной системе "Реестр информационных систем Красноярского края" (далее - ГИС "РИСКК") и определяет порядок идентификации и аутентификации.

При доступе и работе в ГИС "РИСКК", должна осуществляться идентификация и аутентификация администратора информационной безопасности (далее - администратор ИБ), ответственных за обеспечение безопасности, пользователей ГИС "РИСКК", как являющихся сотрудниками министерства цифрового развития Красноярского края (далее - министерство), так и лиц, являющихся сотрудниками сторонних организаций, и процессов, запускаемых от имени этих пользователей и системных учетных записей.

Лицо, ответственное за создание, присвоение и уничтожение идентификаторов пользователей, хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер, в случае утраты и (или) компрометации средств аутентификации, назначается приказом министра цифрового развития Красноярского края. При осуществлении своих полномочий, данное лицо должно руководствоваться настоящим Положением.

При подозрении на компрометацию средств аутентификации, сотрудник должен заполнить отчет о событии информационной безопасности, приведенный в приложении N 1 к Инструкции по выявлению инцидентов информационной безопасности и реагированию на них в государственной информационной системе "Реестр информационных систем Красноярского края" министерства цифрового развития Красноярского края".

Под компрометацией понимается хищение, утрата действующих аутентификаторов, передача или сообщение их лицам, не имеющим на то право, другие действия сотрудника, приведшие к получению его аутентификатора лицами, не имеющими на то право. Скомпрометированные средства аутентификации выводятся из действия немедленно.

2. Требования к организации идентификации и аутентификации

Лицо, ответственное за создание, присвоение и уничтожение идентификаторов пользователей, реализует следующие функции в ГИС "РИСКК":

формирование идентификаторов пользователей, которые:

однозначно идентифицируют пользователей и лиц, обладающих привилегированными правами доступа в ГИС "РИСКК";

не используются повторно в течение одного года;

блокирование идентификатора пользователя больше установленного времени неиспользования (90 минут).

Лицо, ответственное за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер, в случае утраты и (или) компрометации средств аутентификации, реализует следующие функции в информационной системе:

назначение необходимых характеристик средств аутентификации (в том числе механизма пароля);

выдача средств аутентификации пользователям;

замена средств аутентификации (обновление аутентификационной информации), с установленной периодичностью.

3. Требования к парольной политике

Политика блокировки учетных записей должна соответствовать следующим требованиям:

максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток;

блокировка программно-технического средства или учетной записи пользователя, в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут;

период времени до сброса счетчика блокировки от 10 до 30 минут.

В ГИС "РИСКК" предъявляются следующие требования к парольной политике:

длина пароля должна быть не менее 8 символов;

смена паролей должна производиться не более, чем через 90 дней;

пароль должен удовлетворять требованиям сложности (использование в пароле трех из следующих четырех категорий элементов: строчные буквы, прописные буквы, цифры, специальные символы (%. &, # и др.).

При смене пароля, необходимо руководствоваться следующими требованиями:

пароль не должен включать в себя легко вычисляемые сочетания символов (имя, фамилия, день рождения и другие памятные даты, номер телефона, автомобиля, адрес местожительства, наименования АРМ, общепринятые сокращения (ЭВМ, ЛВС, USER, SYSOP, GUEST, ADMINISTRATOR и т.д.), и другие данные, которые могут быть подобраны злоумышленником путем анализа информации о пользователе);

не использовать в качестве пароля один и тот же повторяющийся символ, либо повторяющуюся комбинацию из нескольких символов;

не использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 или 1йфячыц2 и т. п.);

при смене пароля, новое значение должно отличаться от предыдущего не менее ч