Приложение N 5. Инструкция по организации парольной защиты в информационных системах персональных данных министерства здравоохранения Рязанской области. Приказ Министерства здравоохранения Рязанской области от 17.09.2014 N 1466 "О назначении ответственных лиц по защите персональных данных"

Приложение N 5
к приказу
министерства здравоохранения
Рязанской области
от 17 сентября 2014 г. N 1466

Инструкция
по организации парольной защиты в информационных системах персональных данных министерства здравоохранения Рязанской области

1. Общие положения

1.1. Данная Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных министерства здравоохранения Рязанской области, а также контроль за действиями пользователей и обслуживающего персонала ИСПДн министерства здравоохранения Рязанской области при работе с паролями.

2. Требования по организации парольной защиты в ИСПДн министерства здравоохранения Рязанской области

2.1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в ИСПДн министерства здравоохранения Рязанской области и контроль за действиями исполнителей и обслуживающего персонала ИСПДн при работе с паролями возлагаются на Администратора ИСПДн, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.

2.2. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями ИСПДн самостоятельно с учетом следующих требований:

- длина пароля должна быть не менее 8 символов;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования автоматизированного рабочего места (АРМ) и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);

- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;

- личный пароль пользователь не имеет права сообщать никому.

2.3. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

2.4. В случае, если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на Администратора ИСПДн. Для генерации "стойких" значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самих уполномоченных сотрудников министерства здравоохранения Рязанской области.

2.5. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в месяц.

2.6. Внеплановая смена личного пароля или удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, переход на другую работу внутри министерства здравоохранения Рязанской области и т.п.) должна производиться Администратором ИСПДн немедленно после окончания последнего сеанса работы данного пользователя в ИСПДн министерства здравоохранения Рязанской области.

2.7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри министерства здравоохранения Рязанской области и другие обстоятельства) Администратора ИСПДн и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой ИСПДн министерства здравоохранения Рязанской области.

2.8. В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п. 2.6 или п. 2.7 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.

3. Ответственность при организации парольной защиты в ИСПДн министерства здравоохранения Рязанской области

3.1. Ответственность за организацию парольной защиты в ИСПДн министерства здравоохранения Рязанской области и установление порядка ее проведения в соответствии с требованиями настоящей Инструкции возлагается на Администратора ИСПДн.

3.2. Ответственность за поддержание установленного порядка и соблюдение требований настоящей Инструкции возлагается на Ответственного за организацию обработки ПДн в ИСПДн министерства здравоохранения Рязанской области и пользователей (операторов) ИСПДн.