Оператором персональных данных должны быть установлены и реализованы следующие функции управления идентификаторами пользователей и устройств в информационной системе персональных данных (ИСПДн):
- определение должностного лица (администратора) оператора персональных данных, ответственного за создание, присвоение и уничтожение идентификаторов пользователей и устройств;
- формирование идентификатора, который однозначно идентифицирует пользователя и (или) устройство;
- присвоение идентификатора пользователю и (или) устройству;
- предотвращение повторного использования идентификатора пользователя и (или) устройства в течение установленного оператором периода времени;
- блокирование идентификатора пользователя после установленного оператором персональных данных времени неиспользования.
Правила и процедуры управления идентификаторами регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
Требование к усилению ИАФ.3:
1) оператором персональных данных должно быть исключено повторное использование идентификатора пользователя в течение:
а) не менее одного года;
б) не менее трех лет;
в) в течение всего периода эксплуатации ИСПДн;
2) оператором персональных данных должно быть обеспечено блокирование идентификатора пользователя через период времени неиспользования:
а) не более 90 дней;
б) не более 45 дней;
3) оператором персональных данных должно быть обеспечено использование различной аутентификационной информации (различных средств аутентификации) пользователя для входа в ИСПДн и доступа к прикладному (специальному) программному обеспечению;
4) оператором персональных данных должно быть исключено использование идентификатора пользователя ИСПДн при создании учетной записи пользователя публичной электронной почты или иных публичных сервисов;
5) оператором персональных данных должно быть обеспечено управление идентификаторами внешних пользователей, учетные записи которых используются для доступа к общедоступным ресурсам ИСПДн.
Содержание базовой меры ИАФ.3:
| Мера защиты персональных данных | Уровень защищенности персональных данных | |||
| 4 | 3 | 2 | 1 | |
| ИАФ.3 | + | + | + | + |
| Усиление ИАФ.3 | 1а, 2а | 1а, 2а | 1б, 2б | |