Приложение 5. Порядок парольной защиты в информационных системах персональных данных министерства финансов Ставропольского края. Приказ Министерства финансов Ставропольского края от 23.12.2010 N 191 "Об обработке и обеспечении безопасности персональных данных в информационных системах персональных данных министерства финансов Ставропольского края"

Приложение 5

к приказу

министерства финансов

Ставропольского края

от 23 декабря 2010 г. N 191

Порядок
парольной защиты в информационных системах персональных данных министерства финансов Ставропольского края

1. Общие положения

1.1. Порядок парольной защиты в информационных системах персональных данных министерства финансов Ставропольского края (далее - Порядок) включает в себя взаимоувязанный комплекс организационно-технических мер, регламентирующих генерацию и/или выбор, использование, хранение, уничтожение парольной информации в информационных системах персональных данных министерства финансов Ставропольского края (далее соответственно - ИСПДн, министерство).

1.2. Требования Порядка являются неотъемлемой частью комплекса мер безопасности и защиты информации в министерстве.

1.3. Требования настоящего Порядка распространяются на всех должностных лиц и сотрудников министерства, использующих в работе ИСПДн, а также всех видов программного обеспечения ИСПДн (далее - ПО), эксплуатируемого в министерстве.

1.4. Ознакомление сотрудников министерства, использующих в работе ИСПДн (далее - пользователи ИСПДн), с требованиями Порядка проводит администратор информационной безопасности ИСПДн (далее - администратор) под роспись в листе ознакомления с Порядком парольной защиты в информационных системах персональных данных министерства по форме согласно приложению 1 к настоящему Порядку.

1.5. В целях закрепления знаний по вопросам практического исполнения требований Порядка, разъяснения возникающих вопросов администратор проводит (при необходимости) персональные инструктажи пользователей ИСПДн министерства.

1.6. В случае невозможности исполнения требований Порядка в полном объеме при возникновении нештатных ситуаций, порядок парольной защиты в ИСПДн министерства определяется администратором по согласованию с ответственным за защиту информации и персональных данных министерства.

В целях настоящего Порядка под нештатными ситуациями, возникающими в процессе обработки ПДн следует понимать следующие: отказ, сбой, ошибка в работе технических средств, форс-мажорные обстоятельства.

2. Функции Администратора ИСПДн

2.1. Администратор обязан проводить:

регулярную смену используемой в работе парольной информации;

выбор парольной информации с качеством, установленным Порядком;

организационно-методическое обеспечение процессов генерации, смены и удаления паролей в ИСПДн министерства;

организацию доведения до пользователей ИСПДн министерства требований по парольной защите;

организацию периодического и выборочного контроля исполнения пользователями ИСПДн требований настоящего Порядка;

техническое обеспечение (при наличии программно-технических средств) процессов генерации/выбора, смены и удаления паролей, соответствующей конфигурации ИСПДн.

3. Качество и обращение парольной информации

3.1. Пароли доступа к аппаратно-программным вычислительным средствам, информационным ресурсам организации формируются администратором с учетом требований к качеству парольной информации согласно приложению 2.

3.2. Хранение сотрудником (администратором, пользователем ИСПДн) личных паролей допускается в надежном месте (в сейфе, запираемом шкафу, ящике), либо в сейфе (запираемом шкафу, ящике) непосредственного руководителя.

3.3. Пользователи ИСПДн и администратор самостоятельно никому не имеют права сообщать и (или) передавать свои личные пароли и (или) дополнительные идентификаторы (электронные ключи), за исключением своих непосредственных руководителей в случае производственной необходимости и (или) при проведении контрольно-проверочных мероприятий. По окончании производственных и (или) контрольно-проверочных работ администратор производит немедленную смену значений раскрытых паролей.

3.4. Внеплановая смена/удаление пароля (и при возможности учетной записи) пользователя ИСПДн или администратора в случае прекращения его полномочий должна производиться немедленно после окончания последнего сеанса работы данного пользователя с системой.

3.5. Внеплановая полная смена паролей должна производиться в случае прекращения полномочий администратора.

3.6. Администратор по согласованию с ответственным за защиту информации и ПДн министерства проводит ежеквартальный выборочный контроль выполнения сотрудниками министерства требований Порядка с отметками в журнале контроля выполнения сотрудниками министерства Порядка парольной защиты в информационных системах персональных данных министерства по форме согласно приложению 3.

4. Обращение дополнительных идентификаторов

4.1. В целях усиления процедур идентификации и аутентификации в ИСПДн министерства, пользователи ИСПДн могут использовать дополнительные индивидуальные электронные идентификаторы (смарт-карты, eToken и т.д.) совместно с личным паролем доступа.

4.2. Дополнительные идентификаторы выдаются и учитываются в соответствии с Инструкцией по наделению пользователей информационных систем персональных данных уникальными учетными записями и правами доступа к ресурсам информационных систем персональных данных министерства.

4.3. Пользователи ИСПДн, получившие в пользование дополнительные идентификаторы, лично обеспечивают надежное круглосуточное безопасное хранение и использование идентификаторов. Оставление идентификатора без присмотра запрещается.

4.4. В случае утери дополнительного идентификатора пользователи ИСПДн немедленно ставят об этом в известность администратора и своего непосредственного руководителя. Администратор организует немедленную блокировку утерянных ключей в ИСПДн.

5. Ответственные за организацию и контроль выполнения порядка

5.1. Ответственность за соблюдение требований Порядка возлагается на пользователей ИСПДн и администратора.

5.2. Ответственность за организацию контрольных и проверочных мероприятий по соблюдению пользователями вопросов парольной защиты возлагается на администратора.

5.3. Ответственность за общий контроль информационной безопасности возлагается на ответственного за защиту информации и ПДн министерства.