VII. Требования к идентификации и аутентификации

18. Идентификация и аутентификация включают в себя распознавание пользователя средств удостоверяющего центра, члена группы администраторов средств удостоверяющего центра или процесса, а также проверку их подлинности. Механизм аутентификации при отрицательном результате аутентификации должен блокировать доступ этих субъектов доступа к функциям удостоверяющего центра.

19. В средствах удостоверяющего центра для любой реализованной процедуры аутентификации должен применяться механизм ограничения количества следующих подряд попыток аутентификации одного субъекта доступа, число которых не должно быть более 20. При превышении числа следующих подряд попыток аутентификации одного субъекта доступа доступ этого субъекта доступа к средствам удостоверяющего центра должен быть заблокирован на 15 минут.

20. Описание процедуры регистрации пользователей средств удостоверяющего центра (внесения данных в реестр пользователей средств удостоверяющего центра), в том числе требование о необходимости предъявления пользователем средств удостоверяющего центра при регистрации документов, удостоверяющих личность, должны содержаться в эксплуатационной документации на средства удостоверяющего центра.

21. В отношении лиц, осуществляющих доступ к средствам удостоверяющего центра, должна проводиться двухфакторная аутентификация.

22. Для пользователей средств удостоверяющего центра и членов группы администраторов средств удостоверяющего центра допускается реализация механизмов удаленной аутентификации на основе разрешенных криптографических алгоритмов с использованием сертификатов аутентификации.

23. При осуществлении локального доступа к средствам удостоверяющего центра аутентификация членов группы администраторов средств удостоверяющего центра должна выполняться до перехода в рабочее состояние таких средств (например, до загрузки базовой операционной системы).

24. При использовании для локальной аутентификации символьного, периодически изменяемого пароля он должен состоять из не менее 8 символов (при общем количестве символов алфавита не менее 36). Период изменения пароля не должен превышать 6 месяцев.