Распоряжение Администрации г. Смоленска от 17.11.2014 N 455-р/адм "Об утверждении Инструкции по организации парольной защиты в Администрации города Смоленска" (с изменениями и дополнениями)

Распоряжение Администрации г. Смоленска
от 17 ноября 2014 г. N 455-р/адм
"Об утверждении Инструкции по организации парольной защиты в Администрации города Смоленска"

В соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в целях обеспечения защиты информационных ресурсов Администрации города Смоленска от несанкционированного доступа, руководствуясь Уставом города Смоленска:

1. Утвердить прилагаемую Инструкцию по организации парольной защиты в Администрации города Смоленска (далее - Инструкция).

2. Руководителям структурных подразделений Администрации города Смоленска ознакомить всех сотрудников с данной Инструкцией и обеспечить ее исполнение.

3. Комитету по информационным ресурсам и телекоммуникациям Администрации города Смоленска (С.В. Пивоваров):

- организовать работу в соответствии с Инструкцией;

- разместить настоящее распоряжение на сайте Администрации города Смоленска.

4. Контроль за исполнением настоящего распоряжения оставляю за собой.

Глава Администрации города Смоленска

Н.Н. Алашеев

Инструкция
по организации парольной защиты в Администрации города Смоленска
(утв. распоряжением Администрации города Смоленска от 17 ноября 2014 г. N 455-р/адм)

1. Настоящая Инструкция регламентирует организационно-техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей для доступа к информационным ресурсам Администрации города Смоленска, а также контроль за действиями сотрудников структурных подразделений Администрации города Смоленска (далее - пользователи) при работе с паролями.

2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей пользователей для доступа к информационным ресурсам Администрации города Смоленска и контроль за действиями пользователей при работе с паролями возлагается на комитет по информационным ресурсам и телекоммуникациям Администрации города Смоленска (далее - Комитет), за исключением следующих структурных подразделений Администрации города Смоленска:

- Финансово-казначейского управления Администрации города Смоленска (далее - ФКУ);

- Комитета записи актов гражданского состояния Администрации города Смоленска (далее - Комитет ЗАГС).

3. Ответственным за организацию парольной защиты в Администрации города Смоленска (за исключением ФКУ, Комитета ЗАГС) является начальник отдела сетей и телекоммуникаций Комитета, а во время его отсутствия лицо, исполняющее его обязанности.

4. Личные пароли пользователей должны генерироваться и распределяться централизованно либо выбираться пользователями информационных ресурсов самостоятельно с учетом следующих требований:

4.1. Длина пароля должна быть не менее восьми символов.

4.2. В числе символов пароля обязательно должны присутствовать латинские буквы и цифры. Обязательно наличие не менее одной заглавной буквы или спецсимвола.

4.3. Пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, имя учетной записи, наименование автоматизированного места, номер кабинета, даты рождения и тому подобное), а также общепринятые сокращения (ЭВМ, ЛВС, USER, QWERTY и тому подобное).

4.4. При смене пароля новое значение должно отличаться от предыдущего не менее чем в четырех символах.

5. Личный пароль пользователь обязан хранить в тайне.

6. В случае, если формирование личных паролей пользователей осуществляется централизованно, ответственность за организацию и распределение возлагается на ответственного за организацию парольной защиты.

7. Для генерации "стойких" значений паролей могут применяться специальные программные средства.

8. В случае принятия руководителем структурного подразделения Администрации города Смоленска решения о необходимости использования имен и паролей сотрудников в их отсутствие, такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте передать на хранение руководителю данного структурного подразделения.

9. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в год.

10. Внеплановая смена личного пароля или удаление (блокирование) учетной записи пользователя в случае прекращения его полномочий (увольнение и другие обстоятельства) должна производиться ответственным за парольную защиту немедленно после окончания последнего сеанса работы данного пользователя с системой.

11. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение и другие обстоятельства) ответственного за парольную защиту.

12. В случае компрометации личного пароля пользователя должны быть немедленно приняты меры в соответствии с пунктом 7 или пунктом 8 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.

13. Хранение пользователем своего пароля на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе либо в сейфе у руководителя структурного подразделения Администрации города Смоленска.

14. Сотрудники структурных подразделений Администрации города Смоленска несут ответственность за разглашение личных паролей для доступа к информационным ресурсам Администрации города Смоленска.

15. Пароли администраторов серверов, баз данных и других критически важных объектов должны генерироваться с помощью специальных программных средств, обеспечивающих установку следующих параметров:

15.1. Длина пароля должна быть не менее восьми символов.

15.2. В числе символов пароля обязательно должны присутствовать латинские буквы в верхнем и нижнем регистрах и цифры.

15.3. При смене пароля новое значение должно отличаться от предыдущего не менее чем в четырех символах.

16. Плановая смена паролей администраторов серверов, баз данных и других критически важных объектов должна проводиться регулярно, но не реже одного раза в шесть месяцев.

17. Ответственность за своевременную генерацию паролей администраторов серверов, баз данных и других критически важных объектов несет ответственный за организацию парольной защиты.

18. После плановой смены паролей имена учетной записи и новые пароли администраторы серверов, баз данных и других критически важных объектов должны сдать в запечатанном конверте руководителю соответствующего структурного подразделения, который хранит данные конверты в сейфе, и вскрывает в случае необходимости.