Приложение 5. Инструкция по организации парольной защиты в Департаменте. Приказ Департамента Смоленской области по образованию и науке от 01.08.2012 N 739 "Об утверждении Положения о защите персональных данных и инструкций"

Приложение 5
к приказу Департамента
от 1 августа 2012 г. N 739

Инструкция
по организации парольной защиты в Департаменте

1.1. Первичный пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), устанавливаемые системным администратором при создании новой учетной записи.

1.1.1. Установку первичного пароля производит системный администратор при создании новой учетной записи. Ответственность за сохранность первичного пароля лежит на системном администраторе.

1.1.2. Первичный пароль может содержать несложную комбинацию символов, либо повторяющиеся символы.

1.1.3. При создании первичного пароля, системный администратор обязан установить опцию, требующую смену пароля при первом входе в систему, а также уведомить владельца учетной записи о необходимости произвести смену пароля.

1.1.4. Первичный пароль также используется при сбросе забытого пароля на учетную запись. В любом случае, при использовании первичного пароля все требования настоящего документа сохраняются.

1.2. Основной пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), известная только сотруднику организации, используемая для подтверждения подлинности владельца учетной записи.

1.2.1. Установку основного пароля производит пользователь при первом входе в систему с новой учетной записью.

1.2.2. При выборе пароля необходимо руководствоваться следующими требованиями:

Пароли не должны состоять из:

- Вашего имени, отчества или фамилии ни в каком виде (т.е. написаны в строчном, в прописном, в смешанном виде, задом наперед, два раза и т.д.)

- Вашего идентификатора входа (login) ни в каком виде.

- имен Вашей(его) супруги(а) или детей.

- не используйте какую-либо информацию о себе. Сюда входят: номера телефонов, номера в пропусках и других документах, номер или марка вашего автомобиля, Ваш почтовый адрес и т.д. и т.п.

- только цифр или одинаковых букв.

- слов которые можно найти в словаре (любом, включая иностранные) или в каком-либо списке слов.

- меньше чем восьми символов.

Пароли должны:

- содержать строчные и прописные буквы.

- содержать небуквенные символы (т.е. цифры, знаки пунктуации, специальные символы).

- быть легко запоминаемы, чтобы не было необходимости записывать их.

- быть составлены так, чтобы Вы могли быстро набрать их на клавиатуре. Это осложнит возможность подглядеть пароль.

1.2.3. Пользователь несет персональную ответственность за сохранение в тайне основного пароля. Запрещается сообщать пароль другим лицам в том числе сотрудникам ИТ отдела, записывать его, а также пересылать открытым текстом в электронных сообщениях.

1.2.4. Пользователь обязан не реже одного раза в месяц производить смену основного пароля соблюдая требования настоящего документа.

1.2.5. В случае компрометации пароля (либо подозрении на компрометацию) необходимо немедленно сообщить об этом в сектор ИКТ и изменить основной пароль.

1.2.6. Восстановление забытого основного пароля пользователя осуществляется системным администратором путем изменения (сброса) основного пароля пользователя на первичный пароль на основании письменной либо электронной заявки пользователя.

1.2.7. Устная заявка пользователя на изменение пароля не является основанием для проведения таких изменений.

1.2.8. Для предотвращения угадывания паролей системный администратор обязан настроить механизм блокировки учетной записи при трехкратном неправильном вводе пароля.

1.3. Административный пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), известная системному администратору (администратору БД, администратору приложения), используемая при настройке служебных учетных записей, учетных записей служб и сервисов, а также специальных учетных записей.

1.3.1. При выборе административного пароля необходимо руководствоваться требованиями к паролям, изложенными в пункте 1.2.2.

1.3.2. Системный администратор несет персональную ответственность за сохранение в тайне административного пароля. Запрещается сообщать пароль другим лицам, в том числе сотрудникам Департамента, записывать его, а также пересылать открытым текстом в электронных сообщениях.

1.3.3. Системный администратор обязан не реже одного раза в месяц производить смену административного пароля, соблюдая требования настоящего документа.

1.3.4. В случае компрометации пароля (либо подозрении на компрометацию) необходимо немедленно сообщить об этом в сектор ИКТ и изменить административный пароль.

1.3.5. Копии административных паролей должны храниться в опечатанном конверте в секторе ИКТ.