Приложение 12. Инструкция по организации парольной защиты администрации муниципального образования города Михайловска Шпаковского района Ставропольского края. Постановление администрации муниципального образования города Михайловска Шпаковского района Ставропольского края от 16.03.2015 N 338 "О защите персональных данных в администрации муниципального образования города Михайловска Шпаковского района Ставропольского края"

Приложение 12

к постановлению

администрации муниципального

образования города Михайловска

Шпаковского района

Ставропольского края

от 16 марта 2015 г. N 338

Инструкция
по организации парольной защиты администрации муниципального образования города Михайловска Шпаковского района Ставропольского края

1. Общие положения

1.1. Настоящая Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены, прекращения действия, использования, хранения и удаления паролей (учетных записей) для доступа к автоматизированным рабочим местам лиц, замещающих должности муниципальной службы в администрации муниципального образования города Михайловска Шпаковского района Ставропольского края, а также доступа в информационные системы персональных данных администрации муниципального образования города Михайловска Шпаковского района Ставропольского края (далее соответственно - администрация, АРМ, пользователи, ИСПДн).

1.2. В администрации используется двухфакторная система защиты от несанкционированного доступа (далее - НСД) к АРМ пользователей и ИСПДн администрации:

парольная защита является составной частью подсистемы управления доступом общей системы защиты в администрации;

программно-аппаратная защита подразумевает применение дополнительных индивидуальных электронных идентификаторов (e-Token, RU-Token, i-Button и т.д.) к специальным программным средствам защиты и средствам криптографической защиты информации (КриптоПРО, Vip Net, Secret Net).

2. Правила формирования паролей для доступа к АРМ пользователя

2.1. Пароли для доступа к АРМ генерируются и выдаются пользователям администраторами автоматизированной системы, в соответствии с утверждаемым постановлением администрации муниципального образования города Михайловска Шпаковского района Ставропольского края перечнем должностей муниципальной службы в администрации муниципального образования города Михайловска Шпаковского района Ставропольского края, ответственных за техническое обслуживание информационных систем персональных данных администрации (далее - администраторы АС), с учетом следующих требований:

пароль не должен содержать имя учетной записи пользователя или какую-либо его часть;

пароль должен состоять не менее чем из 8 символов;

в пароле должны присутствовать символы трех категорий из числа следующих четырех:

прописные буквы английского алфавита от A до Z;

строчные буквы английского алфавита от a до z;

десятичные цифры (от 0 до 9);

символы, не принадлежащие алфавитно-цифровому набору (например: !, $, #, %).

2.2. Запрещается использовать в качестве пароля:

имя входа в систему, простые пароли типа "123", "111", "qwerty" и им подобные, а также имена и даты рождения пользователя и его родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе;

один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;

комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.);

пароли, которые уже использовались ранее.

3. Правила формирования паролей для доступа к ИСПДн администрации

3.1. Формирование паролей к ИСПДн администрации, имеющим процедуру аутентификации, производится администраторами АС.

3.2. Пароли к ИСПДн администрации должны удовлетворять требованиям, указанным в пункте 2 настоящей Инструкции.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Слова "указанным в пункте 2 настоящей Инструкции" следует читать: "указанным в разделе 2 настоящей Инструкции"

4. Порядок смены паролей для доступа к АРМ и ИСПДн администрации

4.1. Смена паролей для доступа к ИСПДн администрации проводится администраторами АС по требованию пользователя.

4.2. Полная плановая смена паролей для доступа к АРМ проводится администраторами АС один раз в 3 месяца.

4.3. Срочная (внеплановая) полная смена паролей для доступа к АРМ и ИСПДн администрации производится в случае:

компрометации пароля для доступа к АРМ и ИСПДн администрации. Пользователь о факте администрации сообщает администраторам АС, которые должны немедленно предпринять меры по внеплановой смене паролей в соответствии с пунктом 4.3 настоящей Инструкции;

прекращения полномочий пользователя администрации администраторами АС, которые удаляют учетную запись сразу после окончания последнего сеанса работы данного пользователя в АРМ и ИСПДн.

5. Обращение идентификаторов

5.1. Идентификаторы выдаются пользователям администраторами автоматизированных систем и учитываются в журнале поэкземплярного учета средств защиты информации (СЗИ), по форме устанавливаемой Инструкцией администраторов автоматизированной системы администрации.

5.2. Пользователи, получившие в пользование идентификаторы, лично обеспечивают безопасное хранение и использование идентификаторов. Оставление идентификатора без присмотра запрещается.

5.3. В случае утери идентификатора пользователи немедленно ставят об этом в известность администраторов АС, которые организуют немедленную блокировку утерянных идентификаторов.

6. Обязанности пользователя

6.1. Пользователи, использующие пароли для доступа к АРМ и ИСПДн администрации, обязаны:

четко знать и строго выполнять требования настоящей Инструкции;

своевременно сообщать администраторам АС о компрометации, несанкционированном изменении паролей для доступа к АРМ и ИСПДн администрации, несанкционированном изменении сроков действия паролей и нарушениях работы систем защиты от НСД, возникающих при работе с паролями;

хранить по окончании рабочего дня в запирающемся шкафу или сейфе выданные идентификаторы.

6.2. Под компрометацией понимается нештатная ситуация, связанная с хищением, утратой действующих паролей, передача или сообщение их лицам, не имеющим на то право, другие действия пользователей, приведшие к получению его пароля лицами, не имеющими на то права.

7. Правила хранение паролей для доступа к АРМ и ИСПДн пользователями

При хранении паролей для доступа к АРМ и ИСПДн пользователям запрещается:

записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах, таких как монитор, обратная сторона клавиатуры, внутренности ящика стола и так далее;

сообщать другим пользователям и посторонним лицам пароль для доступа к АРМ и ИСПДн администрации и регистрировать их в системе под своим паролем, а также сообщать сведения о применяемой системе защиты от НСД.

8. Порядок применения ввода паролей для доступа к АРМ и ИСПДн администрации

8.1. Ввод паролей для доступа к АРМ и ИСПДн администрации должен осуществляться с учетом регистра, в котором пароль был задан.

8.2. При вводе пароля для доступа к АРМ и ИСПДн администрации пользователю необходимо исключить произнесение его вслух, а также возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.).

8.3. Защита с применением паролей других программно-технических средств и программных продуктов осуществляется, при их наличии, в соответствии с эксплуатационной документацией на эти средства.