6. Требования к идентификации и аутентификации

28. Средства доверенной третьей стороны должны распознавать пользователя, члена группы администраторов таких средств или процесса (далее - субъекты доступа), а также выполнять проверку их подлинности.

29. Механизм аутентификации должен блокировать доступ субъектов доступа к функциям средств доверенной третьей стороны при отрицательном результате аутентификации.

30. Для любой реализованной процедуры аутентификации должен быть применен механизм ограничения количества следующих подряд попыток аутентификации 1 субъекта доступа, число которых не должно превышать 3.

31. При превышении числа следующих подряд попыток аутентификации 1 субъекта доступа над установленным предельным значением доступ этого субъекта доступа к средствам доверенной третьей стороны должен быть заблокирован на промежуток времени, устанавливаемый техническим заданием на создание (модернизацию) средств доверенной третьей стороны.

32. Для всех лиц, осуществляющих доступ к средствам доверенной третьей стороны, должна проводиться двухфакторная аутентификация.

33. Для всех пользователей средств доверенной третьей стороны допускается использование механизмов удаленной аутентификации с использованием сертификатов проверки ключей аутентификации на основе криптографических средств, разработанных в соответствии с требованиями к криптографическим средствам, используемым средствами доверенной третьей стороны, утверждаемыми Комиссией.

34. При осуществлении локального доступа к средствам доверенной третьей стороны аутентификация членов группы администраторов средств доверенной третьей стороны должна выполняться до перехода в рабочее состояние таких средств (например, до загрузки операционной системы).

35. При использовании для локальной аутентификации символьного, периодически изменяемого пароля он должен состоять из не менее чем 8 символов (при общем количестве символов алфавита не менее 36). Период изменения пароля не должен превышать 3 месяцев.