Приложение 1. Инструкция по организации парольной защиты. Постановление Администрации г. Сургута Ханты-Мансийского автономного округа - Югры от 05.06.2015 N 3833 "Об утверждении руководящих документов по организации защиты персональных данных при их обработке в информационных системах персональных данных"

Приложение 1
к постановлению Администрации г. Сургута
от 5 июня 2015 г. N 3833

Инструкция
по организации парольной защиты

1. Общие положения

1.1. Настоящая инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей в информационных системах персональных данных (далее - ИСПДн), а также контроль за действиями пользователей при работе с паролями с целью исключения несанкционированного доступа (далее - НСД) к ресурсам ИСПДн, содержащих персональные данные (далее - ПДн).

1.2. Настоящая инструкция не распространяется на правила генерации парольной информации, используемой в средствах криптографической защиты информации.

1.3. Защите паролем подлежит доступ к объектам парольной защиты, а именно к:

- базовым системам ввода-вывода автоматизированных рабочих мест;

- настройкам сетевого оборудования;

- настройкам операционных систем;

- настройкам средств виртуализации;

- настройкам средств защиты информации (в том числе средств антивирусной защиты);

- запуску специализированного программного обеспечения, предназначенного для обработки ПДн;

- настройкам систем управления баз данных и базам данных;

- ресурсам файловых массивов.

1.4. Объекты парольной защиты должны быть настроены таким образом, чтобы:

- исключить возможность просмотра ранее вводимых паролей;

- блокировать доступ пользователей после пятикратной ошибки при вводе пароля и сигнализировать о наступлении данного события.

2. Порядок заведения и регистрации паролей доступа пользователей

2.1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль за действиями пользователей при работе с паролями возлагается на уполномоченную организацию по обеспечению безопасности персональных данных.

2.2. При введении нового пользователя уполномоченная организация по обеспечению безопасности персональных данных назначает временный пароль, который должен быть сменен пользователем при первом входе в систему.

2.3. Пользователь обязан запомнить личные пароли, хранить их таким образом, чтобы исключить несанкционированное ознакомление. Запрещается передавать пароли.

3. Принципы выбора и формирования личных паролей

3.1. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями самостоятельно с учетом следующих требований:

- длина пароля должна быть не менее 6 символов;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, ^, *, % и тому подобное);

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и так далее), а также общепринятые сокращения (ЭВМ, ЛВС, USER, ПОЛЬЗОВАТЕЛЬ и тому подобное);

- при смене пароля новое значение должно отличаться от предыдущего;

- допускается использовать русские слова, набираемые в латинском регистре (без переключения клавиатуры);

- пользователь не имеет права сообщать личный пароль другим лицам.

3.2. Внеплановая смена личного пароля или удаление записи пользователя в случае прекращения полномочий пользователя (увольнение, переход на другую работу и тому подобное) должна производиться уполномоченной организацией по обеспечению безопасности персональных данных немедленно после окончания последнего сеанса работы данного пользователя с системой.

3.3. Внеплановая полная смена паролей всех пользователей ИСПДн должна производиться в случае прекращения полномочий (увольнения, перехода на другую работу и тому подобное) сотрудника уполномоченной организации по обеспечению безопасности персональных данных ответственного за ИСПДн.

3.4. В случае компрометации личного пароля пользователя должны быть предприняты меры в соответствии с требованиями пункта 3.2 или пункта 3.3 настоящей инструкции в зависимости от полномочий владельца скомпрометированного пароля.

4. Период действия паролей пользователей

4.1. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в год.

4.2. Полная плановая смена паролей сотрудников уполномоченной организации по обеспечению безопасности персональных данных проводится регулярно, не реже одного раза в шесть месяцев.

5. Правила работы и обязанности пользователей и сотрудников уполномоченной организации по обеспечению безопасности персональных данных по использованию и сохранению в тайне личных паролей

5.1. Информация о паролях пользователей является информацией ограниченного доступа, предназначенной для идентификации и доступа каждого конкретного пользователя к ресурсам ИСПДн согласно разрешительной системе доступа.

5.2. Во время работы ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и другое).

5.3. При отсутствии визуального контроля за рабочей станцией доступ к компьютеру должен быть немедленно заблокирован. В операционной системе Microsoft Windows для этого необходимо нажать одновременно комбинацию клавиш "Ctrl"+"Alt"+"Del" и выбрать опцию "Блокировать компьютер" (в операционных системах Microsoft Windows 7 и выше возможно использование комбинации клавиш "Win"+L). В иных операционных системах необходимые действия по блокированию компьютера необходимо посмотреть в документации пользователя.

5.4. Пользователь обязан незамедлительно сообщать в уполномоченную организацию по обеспечению безопасности персональных данных о выявленном факте утери, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.

5.5. Запрещается:

- умышленное и неумышленное ознакомление с парольной информацией сотрудников и посторонних лиц независимо от их должности;

- передача личного пароля сослуживцам или посторонним лицам;

- запись личного пароля на бумагу и хранение его в доступном для ознакомления посторонними лицами и другими сотрудниками месте;

- вход в систему с использованием чужих идентификаторов или паролей;

- оставление без присмотра рабочего места при работе в ИСПДн.

5.6. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

5.7. Ответственность за организацию контроля требований настоящей инструкции и соблюдение установленного порядка возлагается на ответственного за организацию обработки персональных данных.

5.8. Ответственность за проведение мероприятий по обеспечению соблюдения требований настоящей инструкции и периодический контроль за состоянием парольной защиты возлагается на уполномоченную организацию по обеспечению безопасности персональных данных.