Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение
к приказу ППК "Роскадастр"
от 05.03.2024 N П/095-24
Правила и процедуры
идентификации и аутентификации в публично-правовой компании "Роскадастр"
Термины и сокращения
Сокращение |
Обозначение |
Компания |
Публично-правовая компания "Роскадастр" |
Объект |
Значимый объект критической информационной инфраструктуры публично-правовой компании "Роскадастр" |
Правила |
Правила и процедуры идентификации и аутентификации в публично-правовой компании "Роскадастр" |
УИБ |
Управление информационной безопасности филиала публично-правовой компании "Роскадастр" Центр информационных технологий "Роскадастр-Инфотех" |
1. Общие положения
1.1. Правила регламентируют порядок и процедуры идентификации и аутентификации в Компании.
1.2. Правила являются дополнением к действующим организационно-распорядительным документам Компании по защите информации.
1.3. Правила являются обязательными для выполнения всеми работниками Компании.
1.4. Целью создания Правил является описание порядка и процедур идентификации и аутентификации в Компании.
1.5. Контроль за соблюдением требований Правил осуществляют начальники структурных подразделений центрального аппарата Компании, начальник УИБ, директора филиалов Компании либо лица, официально их замещающие.
2. Идентификация и аутентификация пользователей и инициируемых ими процессов
2.1. При доступе в Объект осуществляется идентификация и аутентификация пользователей (работников Компании, внешних пользователей) и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей.
2.2. Идентификация и аутентификация осуществляется с использованием паролей с помощью имеющихся технических средств.
2.3. Идентификация и аутентификация в информационных системах Компании осуществляется согласно соответствующим организационно-распорядительным документам Компании.
2.4. Рекомендации для работников Компании, такие как: по выбору надежных учетных данных для аутентификации, по защите учетных данных для аутентификации, не устанавливать ранее использованные пароли, менять пароль в случае подозрения на его компрометацию, изложены в утвержденной в Компании политике парольной защиты.
3. Идентификация и аутентификация устройств
В Компании идентификация и аутентификация используемых устройств осуществляется по доменным именам, IP-адресам с применением средств, входящих в состав операционных систем, прикладного программного обеспечения и аппаратно-программных средств доверенной загрузки операционных систем.
4. Управление идентификаторами
В Компании установлены и реализованы следующие функции управления идентификаторами пользователей и устройств в объектах:
формирование идентификатора, который однозначно идентифицирует пользователя и (или) устройство;
присвоение идентификатора пользователю и (или) устройству;
предотвращение повторного использования идентификатора пользователя и (или) устройства.
5. Управление средствами аутентификации
В Компании установлены и реализованы функции управления аутентификационной информацией пользователей и устройств, в том числе:
изменение аутентификационной информации;
генерация и выдача начальной аутентификационной информации;
определение характеристик пароля;
задание минимальной сложности пароля с определяемыми требованиями к регистру, количеству символов, сочетанию букв верхнего и нижнего регистра, цифр и специальных символов;
задание минимального количества измененных символов при создании новых паролей;
задание максимального времени действия пароля;
задание минимального времени действия пароля;
запрет на использование пользователями определенного числа последних использованных паролей при создании новых паролей;
обновление аутентификационной информации;
защита аутентификационной информации от неправомерного доступа к ней и модифицирования.
6. Защита аутентификационной информации при передаче
6.1. В Компании предусмотрена защита аутентификационной информации в процессе ее ввода для аутентификации от возможного использования лицами, не имеющими на это полномочий.
6.2. Защита обратной связи "система - субъект доступа" в процессе аутентификации обеспечивается исключением отображения для пользователя действительного значения аутентификационной информации. Вводимые символы пароля отображаются условными знаками "*", "·" или иными знаками.
7. Вывод Объекта из эксплуатации
При выводе Объекта из эксплуатации должен быть осуществлен сброс настроек программных и программно-аппаратных средств, в том числе средств защиты информации, удалена информация о субъектах доступа и объектах доступа, удалены учетные записи пользователей, а также идентификационная и аутентификационная информация субъектов доступа.
8. Ответственность
Ответственность за соблюдение положений Правил несут все работники Компании в соответствии с локальными нормативными актами Компании и законодательством Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
<< Назад |
||
Содержание Приказ публично-правовой компании "Роскадастр" от 5 марта 2024 г. N П/095-24 "Об утверждении правил и процедур идентификации... |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.