ИАФ.1. Идентификация пользователей
Цель: Исключение доступа к информационной системе лиц, не являющихся пользователями информационной системы.
Требования к реализации: В информационной системе должна осуществляться идентификация пользователей, получающих доступ к информационной системе со средств вычислительной техники (в том числе автоматизированных рабочих мест, конечных устройств, мобильных устройств) для выполнения возложенных на пользователей обязанностей (функций) (далее - внутренние пользователи).
Ко внутренним пользователям относятся работники оператора (обладателя информации), заказчика информационной системы, а также подведомственных ему государственных органов и организаций при их наличии (непривилегированные пользователи, привилегированные пользователи, в том числе главный администратор, администраторы информационной системы, администраторы безопасности), выполняющие свои обязанности (функции) с использованием информации, информационных технологий и средств вычислительной техники информационной системы в соответствии с внутренними стандартами и регламентами по защите информации и которым в информационной системе присвоены учетные записи.
В качестве внутренних пользователей также рассматриваются работники подрядных организаций, привлекаемые на договорной основе для оказания услуг, проведения работ по обработке, хранению информации, созданию (развитию), обеспечению эксплуатации информационных систем, а также для выполнения работ, оказания услуг по защите информации (разработка и тестирование программного обеспечения, обеспечение функционирования информационных систем или защита содержащейся в них информации) и которым в информационной системе также присвоены учетные записи.
При доступе в информационную систему должна осуществляться идентификация пользователей, получающих доступ к информационной системе со средств вычислительной техники, не входящих в состав информационной системы или для которых оператором информационной системы не могут устанавливаться и контролироваться требования о защите информации (далее - внешние пользователи).
Примером внешних пользователей являются граждане, на законных основаниях через сеть "Интернет" получающие доступ к информационным ресурсам Единого портала государственных и муниципальных услуг (функций) или официальным сайтам в сети "Интернет" органов государственной власти, физические и юридические лица, осуществляющие доступ к информационным системам для получения информации с применением учетных записей или без них (анонимные пользователи).
Пользователи информационной системы должны однозначно идентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации в соответствии с мерой защиты информации УПД.9.
Идентификация внешних пользователей в целях предоставления государственных услуг осуществляется в том числе с использованием единой системы идентификации и аутентификации, созданной в соответствии с постановлением Правительства Российской Федерации от 28 ноября 2011 г. N 977.
Идентификация пользователей должна производиться в два этапа: первичная и вторичная идентификация.
Первичная идентификация должна включать подготовку, формирование и регистрацию информации о пользователях, а также присвоение пользователю идентификатора доступа и его регистрацию в перечне присвоенных идентификаторов. Первичная идентификация пользователя должна проводиться один раз в момент установления личности физического лица, запрашивающего доступ к информационной системе.
Первичная идентификация пользователей должна завершаться регистрацией идентификационной информации и присвоенного пользователю уникального идентификатора доступа или отказом. Основанием для отказа в регистрации может быть несоответствие заявленных идентификационных данных требованиям к первичной идентификации, отрицательный результат, полученный в процессе их верификации.
Идентификационная информация, полученная в процессе первичной идентификации, должна обновляться при изменении идентификационных данных пользователей (например, при смене фамилии, при изменении номера мобильного телефона, если он используется для целей идентификации пользователя).
Вторичная идентификация должна включать проверку предъявленного пользователем идентификатора по списку зарегистрированных идентификаторов в информационной системе и опознавание пользователя. Вторичная идентификация является многократно повторяющимся процессом, осуществляющимся каждый раз при новом запросе пользователя на доступ к информационной системе и ресурсам (объектам защиты) информационной системы.
Первичная и вторичная идентификация пользователей осуществляется с учетом положений национальных стандартов ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения" и ГОСТ Р 70262.1-2022 "Защита информации. Идентификация и аутентификация. Уровни доверия идентификации".
В информационной системе должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами.
В процессе сбора, передачи, обработки и хранения идентификационной и подтверждающей информации (в том числе персональных данных) должны быть реализованы меры по защите информации, обеспечивающие ее конфиденциальность, целостность и доступность.
В информационной системе должно быть реализовано управление идентификаторами, включающее:
определение работника оператора, ответственного за создание, присвоение и уничтожение идентификаторов пользователей;
формирование идентификатора, который однозначно идентифицирует пользователя;
присвоение идентификатора пользователю;
проверку личности пользователя при присвоении ему идентификатора;
предотвращение повторного использования идентификатора пользователя;
хранение и поддержание актуального состояния (обновление) идентификационной информации пользователей;
блокирование идентификатора пользователя после установленного оператором времени неиспользования.
Идентификация пользователей обеспечивается применением входящих в состав информационной системы операционной системы и (или) средств защиты информации от несанкционированного доступа, и (или) средств защиты информации, обеспечивающими централизованное управление идентификаторами.
Требования к документированию: В эксплуатационной документации <10> на информационную систему должны быть определены:
--------------------------------
<10> Национальный стандарт Российской Федерации ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения".
перечень типов пользователей (пользователи, главный администратор, системные администраторы, администраторы безопасности, пользователи подрядных организаций, внешние пользователи и другие типы пользователей);
состав идентификационных данных для каждого типа пользователей, минимально необходимый для однозначной идентификации пользователей;
перечень разрешенных к применению средств, используемых для идентификации, в зависимости от ресурсов (объектов защиты) информационной системы, к которым пользователь получает доступ, и средств, с которых осуществляется доступ;
порядок верификации (проверки и подтверждения) идентификационной информации пользователей, порядок действий при выявлении несоответствий, правила проведения верификации;
правила формирования (создания) уникальных идентификаторов, их присвоения пользователям, регистрации идентификаторов в информационной системе;
порядок выдачи идентификаторов пользователям;
правила хранения, поддержания актуального состояния (обновления) идентификационной информации пользователей, периодичности обновления (актуализации) идентификационной информации пользователей и мест ее хранения, организации доступа к ней, отзыва идентификатора пользователя и удаления идентификационной и подтверждающей информации.
1) в информационной системе должно быть реализовано централизованное управление идентификаторами.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2026 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875