Приложение 6. Порядок обеспечения парольной защиты ИСПДн Администрации Юргинского муниципального района. Постановление Администрации Юргинского муниципального района Тюменской области от 04.08.2015 N 947-п "Об утверждении Регламента обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Юргинского муниципального района" (документ не действует)

Приложение 6

Порядок
обеспечения парольной защиты ИСПДн Администрации Юргинского муниципального района

1. Общие требования к использованию паролей

При создании новой учётной записи для неё устанавливается первичный пароль.

При создании первичного пароля используется опция, требующая смены пароля при первом входе в систему, и производится соответствующее уведомление владельца учетной записи о необходимости произвести смену пароля.

Пользователи ИСПДн Администрации Юргинского муниципального района всегда положительно идентифицируются до изменения пароля и предоставления нового пароля.

Реинициализованные пароли принудительно меняются при первом входе в систему.

Система автоматически блокирует учётную запись после 3 неудачных попыток ввода пароля. Блокировка учётной записи автоматически снимается по прошествии одной минуты, после чего пользователь вновь получает возможность авторизоваться в системе. Неудачные попытки авторизации регистрируются в системном журнале.

Если система предоставляет автоматизированные инструменты для конфигурирования требуемых опций, то они соответствующим образом настроены.

Хранение сотрудником значений своих паролей на материальном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у руководителя подразделения в опечатанном конверте или пенале.

2. Правила формирования пароля

Персональные пароли генерируются специальными программными средствами Администраторами ИСПДн Администрации Юргинского муниципального района с учетом следующих требований:

- длина пароля составляет не менее 7-ми символов;

- длина пароля для привилегированных пользователей составляет не менее 10-ти символов;

- в составе символов пароля обязательно присутствуют буквы в верхнем и нижнем регистрах, цифры и специальные символы (" ~ ! @ # $ % ^ & * ( ) - + _ = \ | / ? ,);

- при смене пароля новое значение отличается от предыдущего не менее чем в 4-ех позициях;

- пароль может повторяться не менее чем после использования 5-ти различных паролей;

- личный пароль пользователь не имеет права сообщать никому;

- пароль не включает в себя легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т.д.), последовательности символов и знаков (111, qwerty, abcd и т.д.), общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетаний букв и знаков, которые можно угадать, основываясь на информации о пользователе.

3. Срок действия пароля

Пароли на серверы, рабочие станции, сетевые устройства, базы данных и приложения изменяются согласно требованиям, изложенным в Таблице 1. Блокирование учетной записи с истекшим паролем автоматизировано. Если это не возможно, пользователь изменяет свои пароли, основываясь на приведённом в Таблице 1 расписании.

Таблица 1

Сроки действия паролей

Категория учётных записей	Описание	Примеры	Срок действия
Учетные записи конечных пользователей	Все учетные записи, не перечисленные ниже	Учетные записи пользователей Windows, Unix, AS/400, Mainframe	90 дней
Административные и другие привилегированные учетные записи	Учетные записи с расширенными полномочиями	Административные учетные записи: Administrator в Windows, root в Unix, Secadm и Qsecofcr в AS/400; сетевой администратор	90 дней
Сервисные учетные записи и записи, принадлежащие приложениям	Учётные записи с некими административными привилегиями или привилегиями внутри приложения, активно используемые, связь компьютер-компьютер, редко используемые людьми	msexch, sms, учетные записи владельца приложения, учетные записи для передачи файлов (FTP)	Никогда, если не используется персоналом поддержки. В случае обнаружения подозрительной активности пароль должен меняться немедленно.
Пользовательские команды и административные записи на внутренних сетевых устройствах	Привилегированные записи и записи "только для чтения" на маршрутизаторах и коммутаторах	Cisco-connect, mstat, mtrace, rlogin, traceroute, where; Cisco-configure, copy, erase, mrinfo, reload, rsh, setup, tunnel	90 дней
Пользовательские команды и административные записи на внешних сетевых устройствах и шлюзах	Привилегированные записи и записи "только для чтения" на маршрутизаторах и коммутаторах	Cisco-connect, mstat, mtrace, rlogin, traceroute, where; Cisco-configure, copy, erase, mrinfo, reload, rsh, setup, tunnel	90 дней

В случае увольнения сотрудника удаление соответствующей ему учётной записи пользователя ИСПДн Администрации Юргинского муниципального района производится немедленно после окончания последнего сеанса работы данного пользователя. Основанием для прекращения действий прав доступа к ИСПДн Администрации Юргинского муниципального района является заявка в установленной форме.

В случае компрометации персонального пароля пользователя системы немедленно выполняется внеплановая смена пароля.

4. Ответственность

Администратор информационной безопасности ИСПДн Администрации Юргинского муниципального района несёт ответственность за корректное и непрерывное функционирование подсистемы парольной защиты систем, в которых производится обработка ПДн.

Администратор информационной безопасности ИСПДн Администрации Юргинского муниципального района несёт ответственность за настройку конфигурации подсистемы парольной защиты. Системный администратор ИСПДн Администрации Юргинского муниципального района производит настройку параметров парольной защиты по поручению Администратора информационной безопасности ИСПДн Администрации Юргинского муниципального района.

Администратор информационной безопасности ИСПДн Администрации Юргинского муниципального района и системный администратор ИСПДн Администрации Юргинского муниципального района принимают участие в мероприятиях по реагированию на инциденты информационной безопасности, связанные с нарушением требований к организации парольной защиты ИСПДн Администрации Юргинского муниципального района.