Приложение №10 средства за управление на достъпа на участниците в електронния обмен

1. 
   Ръководителите на администрациите следва да осигурят средства за управление на достъпа, които позволяват да се определят и контролират действията, които различни ползватели на информационните системи и процеси в тях могат да извършват по отношение на информационни ресурси. Логическото управление на достъпа трябва да позволява да се определят множество допустими операции за всеки ползвател или процес и да се контролира изпълнението на установените правила.
   

2. 
   Средствата за управление на достъпа на участниците в електронния обмен трябва да включват три категории функции:
   

б) спомагателни функции – обслужване на процесите на достъп на ползвателите;

в) информационни функции – събиране на информация за процесите на достъп с оглед подобряване на взаимодействието.

3. 
   За изграждане на вътрешни правила за мрежовата и информационна сигурност в администрациите се препоръчва следното съдържание на раздела, свързан с управлението на достъпа на участниците в електронния обмен:
   

б) документирани процедури по присвояване на привилегии, акаунти и други права в съответствие с политиката;

в) определяне на ограничения на количеството несполучливи опити на ползвателя за вход в система за определен интервал от време, след което акаунтът му се заключва;

г) определяне на предупреждаващите съобщения, информиращи потребителя преди предоставяне на достъп, относно:

• 
  общите ограничения, налагани от системата;
  
• 
  възможния мониторинг, протоколиране и одит на използването на системата;
  
• 
  необходимото съгласие на ползвателя за мониторинг и протоколиране в случай на използване на системата;
  
• 
  забраните и възможните санкции при несанкционирано използване на системата;
  
• 
  възможните действия на ползвателя, които могат да бъдат изпълнени от информационната система без необходимост от аутентикация и оторизация.
  

4. 
   В съответствие с процедурите по т.3, ръководителите на администрациите трябва да организират провеждането на следните мероприятия:
   

б) записване в поддържаните от системата списъци на участниците на всички граждани и организации, които са участвали в електронния информационен обмен в публичните информационни системи.

в) съхраняване на архивна информация за период от една година за всички участници, които са използвали електронни административни услуги от публичните информационни системи.

г) организиране на достъпа на служителите от администрацията чрез система от индивидуални пароли. Паролите трябва да се променят периодично, но не по-малко от веднъж на 6 (шест) месеца.

5. 
   Всеки служител в администрацията, записан в съответния директориен LDAP сървър (централен или локален), трябва да получава уникални потребителско име и парола за достъп само до информационните системи, които са необходими, за да изпълнява служебните си задължения. Паролата трябва да съдържа 8 или 16 буквено-цифрови символа и да изисква автоматична промяна всеки месец.