Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу admin@wikisec.ru

АНЗ.5

Материал из wikisec
Перейти к навигации Перейти к поиску

АНЗ.5 - Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе

Описание

Оператором персональных данных должен проводиться контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе персональных данных (ИСПДн). При контроле правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в ИСПДн осуществляется:

  • контроль правил генерации и смены паролей пользователей в соответствии с ИАФ.1 и ИАФ.4;
  • контроль заведения и удаления учетных записей пользователей в соответствии с УПД.1;
  • контроль реализации правил разграничения доступом в соответствии с УПД.2;
  • контроль реализации полномочий пользователей в соответствии с УПД.4 и УПД.5;
  • контроль наличия документов, подтверждающих разрешение изменений учетных записей пользователей, их параметров, правил разграничения доступом и полномочий пользователей, предусмотренных организационно-распорядительными документами по защите персональных данных оператора персональных данных;
  • устранение нарушений, связанных с генерацией и сменой паролей пользователей, заведением и удалением учетных записей пользователей, реализацией правил разграничения доступом, установлением полномочий пользователей.

Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в ИСПДн проводится с периодичностью, установленной оператором персональных данных в организационно-распорядительных документах по защите персональных данных.

Требования к усилению АНЗ.5:

  1. в ИСПДн должна обеспечиваться регистрация событий, связанных со сменой паролей пользователей, заведением и удалением учетных записей пользователей, изменением правил разграничения доступом и полномочий пользователей;
  2. оператором персональных данных должны использоваться автоматизированные средства, обеспечивающие контроль правил генерации и смены паролей пользователей, учетных записей пользователей, правил разграничения доступом и полномочий пользователей.
Мера защиты персональных данных Уровень защищенности персональных данных
4 3 2 1
АНЗ.5 + +
Усиление АНЗ.5 1 1