УПД.8. Блокирование сеанса доступа пользователя при неактивности

Цель: Обеспечение защиты информационной системы от несанкционированного доступа в случаях, когда субъект доступа оставляет активный сеанс (сессию) без контроля.

Требования к реализации: В информационной системе должно обеспечиваться блокирование сеанса доступа субъекта доступа (пользователя, устройства, приложения) после установленного в информационной системе времени его бездействия (неактивности), а также по запросу субъекта доступа или оператора.

Для заблокированного сеанса должно осуществляться блокирование любых действий по доступу к информации и (или) устройствам отображения, кроме необходимых для разблокирования сеанса.

Разблокирование сеанса доступа субъекта доступа в информационную систему должно осуществляться после повторной аутентификации в соответствии с мерой защиты информации ИАФ.3.

В информационной системе на устройстве отображения (мониторе) после блокирования сеанса не должна отображаться информация сеанса субъекта доступа.

Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:

значения допустимого времени бездействия для различных категорий пользователей;

порядок реализации автоматического блокирования сеанса при превышении допустимого времени бездействия;

порядок восстановления работы субъекта доступа после блокирования сеанса;

порядок регистрации событий превышения установленного оператором допустимого числа неуспешных попыток разблокирования доступа.

Требования к усилению:

1) в информационной системе должно осуществляться завершение сеанса доступа после превышения установленного оператором времени бездействия (неактивности) субъекта доступа;

2) в информационной системе должно осуществляться завершение сеанса доступа после превышения установленного оператором числа неуспешных попыток разблокирования сеанса доступа.

Реализация в информационной системе: