Приложение N 1. Регламент доступа к информационным ресурсам в автоматизированной системе "Адресная социальная помощь" министерства труда и социальной защиты Тульской области. Приказ Министерства труда и социальной защиты Тульской области от 12.05.2014 N 141-осн "Об утверждении регламента доступа к информационным ресурсам в автоматизированной системе "Адресная социальная помощь" министерства труда и социальной защиты Тульской области"

Приложение N 1
к приказу
министерства труда
и социальной защиты
Тульской области
от 12 мая 2014 г. N 141-осн

Регламент
доступа к информационным ресурсам в автоматизированной
системе "Адресная социальная помощь" министерства
труда и социальной защиты Тульской области

1. Общие положения

1.1. Настоящий регламент определяет правила и порядок выполнения процедур по предоставлению и прекращению доступа к информационным ресурсам в автоматизированной системе "Адресная социальная помощь" для сотрудников министерства труда и социальной защиты Тульской области. В регламенте определяется порядок разграничения прав пользователей на выполнение различных операций в автоматизированной системе "Адресная социальная помощь" (создание, просмотр, редактирование и удаление) и ограничения доступа пользователей к информационным ресурсам системы в министерстве труда и социальной защиты Тульской области. Регламент рассматривает и определяет организационно-техническое обеспечение процессов идентификации и аутентификации пользователей, защищаемых информационных ресурсов в автоматизированной системе "Адресная социальная помощь" министерства труда и социальной защиты Тульской области (далее АС "АСП"); определяет перечень защищаемых информационных ресурсов: порядок авторизации пользователей; состав парольной документации и порядок работы с ней, в том числе генерации, смены и прекращения действия паролей (удаления учетных записей пользователей); меры обеспечения безопасности при использовании паролей в АС "АСП" ТО.

1.2. Положение разработано в соответствии с требованиями следующих документов:

- Статьи 19 Главы 4 "Меры по обеспечению безопасности персональных данных при их обработке" Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";

- Пункта 5.1.3 "Специальных требований и рекомендаций по технической защите конфиденциальной информации" (СТР-К), утвержденных приказом Гостехкомиссии России от 30.08.2002 г.;

- Подпунктов 8.1, 8.2 "Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденного приказом ФСТЭК России от 18.02.2013 N 21;

- Подпунктов 20.1, 20.2 "Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", утвержденных приказом ФСТЭК России от 11.02.2013 г. N 17.

1.3. Исполнение требований настоящего Положения является элементом производственной дисциплины и обязательно для всех должностных лиц в части, их касающейся.

2. Термины и определения

Аутентичность - свойство информации (данных), выражающееся в наличии свидетельства того, что она была создана, размещена законным участником информационного процесса, и что она не подверглась искажению - случайному или преднамеренному.

Авторизация - предоставление пользователю доступа к защищаемому ресурсу в соответствии с уровнем полномочий пользователя.

Аутентификатор - 1) отличительный, никому более не присущий признак субъекта доступа (пользователя); 2) техническое устройство индивидуального использования, служащее для хранения и ввода в ПК отличительного признака субъекта доступа.

Аутентификация - процесс проверки принадлежности субъекту доступа предъявленного им идентификатора; т.е. проверка подлинности пользователя с помощью предъявляемого им аутентификатора.

Администратор приложения - лицо, ответственное за выполнение мероприятий по парольной защите приложения (приложений).

Безопасность информации - состояние информации, характеризуемое способностью персонала, используемых технических средств и информационных технологий обеспечить ее доступность, конфиденциальность, целостность и аутентичность при обработке техническими средствами.

Защита информации - деятельность по обеспечению безопасности информации.

Идентификатор - уникальный признак субъекта или объекта доступа.

Имя Пользователя - идентификатор, представляющий последовательность символов установленного формата.

Конфиденциальность информации - 1) обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя; 2) состояние защищенности информации, характеризуемое способностью сохранения ее (информации) в тайне от субъектов доступа, не имеющих полномочий на ознакомление с ней.

Пароль - назначаемый (присваиваемый) аутентификатор пользователя, представляющий собой группу символов определенной длины, являющийся секретом пользователя и служащий для подтверждения принадлежности предъявленного идентификатора (Имени Пользователя) обращающемуся пользователю.

Парольная документация документы, предназначенные для обеспечения функционирования системы аутентификации пользователей.

Пользователь (информации) - субъект доступа, обращающийся к информационной системе в целях получения информации или воздействия на нее.

Привилегированная учетная запись - учетная запись, используемая для управления работой АС "АСП" ТО.

Служебная учетная запись учетная запись, используемая службами либо техническим персоналом АС "АСП" ТО для доступа к ресурсам, необходимым для выполнения их функций. Локальные учетные записи компьютеров Administrator и Guest предназначены для служебного использования при настройке систем и не предназначены для повседневной работы.

Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Объект доступа - информационный ресурс автоматизированной системы, доступ к которому регламентирован.

Уровень полномочий - совокупность прав доступа субъекта доступа.

3. Порядок организация учета ресурсов в АС "АСП"

3.1 Защищаемые ресурсы АС "АСП", обрабатываемые в министерстве труда и социальной защиты Тульской области (далее Министерство), определяются "Перечнем защищаемых информационных ресурсов в АС "АСП"" (далее Перечень) (Приложение 1).

3.2 Перечень утверждается министром труда и социальной защиты Тульской области.

3.3 Актуализация перечня защищаемых информационных ресурсов осуществляется по мере изменения состава информационных ресурсов АС "АСП".

3.4 Доступ к защищаемому ресурсу АС "АСП" предоставляется минимально необходимому для выполнения производственных задач числу сотрудников, определяемому Таблицей допуска к защищаемому информационному ресурсу (далее Таблица допуска) (Приложение 2). Таблица допуска определяет разрешенные режимы работы пользователей и уровни доступа.

3.5 Ведение Таблицы допуска осуществляется администратором приложения (далее АН), контролируется ответственным за организацию обработки персональных данных, который назначается приказом министра.

3.6 АП назначается приказом руководителя ГАУ ТО "ЦИТ" или руководителя Министерства в зависимости от того, к какой организации (ГАУ ТО "ЦИТ", Министерству) относится АП.

3.7 Приказ о назначении АП издается в ГАУ ТО "ЦИТ" или в Министерстве при назначении нового АП, и переиздается не реже одного раза в год.

3.8 Для АС "АСП", не имеющей возможности обеспечить назначение пароля доступа к ресурсу непосредственно пользователем, АН на основании Таблицы допуска формирует Таблицу доступа пользователей к защищаемым ресурсам (далее Таблица доступа) (Приложение 3). Таблица доступа содержит идентификаторы и аутентификаторы (пароли) пользователей.

3.9 Таблица доступа утверждается руководителем министерства труда и социальной защиты Тульской области. Утвержденная министром таблица доступа хранится у АП в сейфе (запирающемся на замок ящике рабочего стола).

4. Предоставление доступа пользователям

4.1 Заявка на предоставление доступа пользователю к защищаемым ресурсам АС "АСП" (Приложение 4) оформляется за подписью руководителя подразделения пользователя и направляется в отдел технической поддержки ГАУ ТО "ЦИТ" (руководителю подразделения, в котором состоит АП в случае, когда АП не является сотрудником Г'АУ ТО "ЦИТ").

4.2 Пользователям предоставляются минимально необходимые для выполнения производственных задач права доступа к информации. Ответственность за обоснованность предоставляемых пользователям прав возлагается на руководителей отделов департамента демографической политики, социальной защиты, опеки и попечительства Министерства.

4.3 Методическая помощь по уточнению прав разграничения доступа для конкретного пользователя осуществляется отделом технической поддержки ГАУ ТО "ЦИТ" и администратором безопасности Министерства.

5. Порядок разграничения прав пользователей
и ограничения доступа пользователей к задачам в АС "АСП"

5.1 Задача "Настройка системы" в АС "АСП" предназначена для разграничения прав пользователей на выполнение различных операций над данными (создание, просмотр, редактирование и удаление) и ограничения доступа пользователей к задачам системы. Для этого в АС "АСП" существуют понятия рабочего места и вида работы, которые настраиваются АП.

5.2 Рабочие места служат для объединения различных задач системы в группы. Для каждого пользователя определяется список доступных рабочих мест и в рамках каждого рабочего места для конкретного пользователя определяются доступные для него виды работ (разрешение на операции создания, просмотра, редактирования и удаления определенных данных). Задача АП в АС "АСП" назначить нужные для работы пользователей права, согласно заявкам на предоставление доступа пользователю к защищаемым ресурсам АС "АСП".

6. Принципы авторизации пользователей

6.1. Авторизация пользователей производится на основании положительных результатов аутентификации. Авторизация не идентифицированных пользователей не допускается.

6.2. Идентификация пользователя в автоматизированной системе "Адресная социальная помощь" защищаемых информационных ресурсов производится присвоением пользователю идентификатора (имя пользователя для входа в систему) - уникальной символьной последовательности, которая состоит из кодификатора отделения и ФИО пользователя. Например, служащему Министерства Иванову Петру Сергеевичу присваивается логин 210IvanovPS. сотруднику управления социальной защиты населения Дубенского района Боброву Денису Олеговичу присваивается логин 07UBobrovDO. Кодификатор Министерства и подведомственных ему учреждений, а также муниципальных и городских округов Тульской области приведен в (Приложении 5).

6.3. Набор допустимых для идентификации символов - цифры и латинские буквы в верхнем и нижнем регистрах.

6.4. Аутентификация пользователя производится посредством сравнения предъявляемого им аутентификатора с аутентификатором, поставленным в однозначное соответствие предъявленному идентификатору (Имени Пользователя) из таблицы пользователей в АС "ЛСП".

6.5. В АС "АСП" используется однофакторная аутентификация пользователей.

6.6. В качестве аутентификатора пользователя в АС "АСП" используется пароль -кодовое слово, которое вводится в ПК с клавиатуры. Аутентификация пользователя в АС "АСП" ТО выполняется при:

- входе в систему;

- обращении к ресурсам.

7. Общие требования к паролям

7.1. Личные пароли пользователей АС "АСП" ТО должны выбираться с учетом следующих требований:

- длина пароля должна быть не менее 8 символов;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и (или) специальные символы (@. #. $. &, *, % и т.п.);

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования рабочих станций и т.д.), а также общепринятые сокращения и термины (qwerty, user, password, 123456 и т.п.);

- при смене пароля новый пароль должен отличаться от старого не менее чем двумя символами;

- при создании паролей личных учетных записей пользователей возможно использование специализированного программного обеспечения для генерации сложных для подбора легко запоминаемых паролей с учетом п. 12# настоящего Положения.

7.2. Пароли служебных и привилегированных учетных записей автоматизированной системы должны выбираться с учетом следующих требований:

- длина пароля должна быть не менее 12 символов;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и (или) специальные символы (@, #, $. &, *. % и т.п.);

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования рабочих станций и т.д.), а также общепринятые сокращения и термины (qwerty, user, password и т.п.), пароль не должен быть словом русского либо английского языка, в котором заменены некоторые символы (о->0. s->$, а->@ и т.п.);

- при смене пароля новый пароль должен отличаться от старого не менее чем четырьмя символами, расположенными не подряд;

- при создании паролей служебных учетных записей возможно использование специализированного программного обеспечения для генерации сложных для подбора легко запоминаемых паролей с учетом п. 12# настоящего Положения.

7.3. Срок действия паролей, вводимых с клавиатуры, составляет 180 суток, по истечении которых пароль должен быть сменен.

8. Назначение паролей

8.1. Назначение паролей для доступа к защищаемым информационным ресурсам производится АП, в соответствии с правилами и сроками, установленными п. 7 данного Положения.

8.2 Порядок действий пользователей при смене паролей доступа к ресурсу, определяется АП и администратор безопасности (далее АБ).

8.3 Выработка паролей для АС "АСП" ТО, не имеющей возможности обеспечить назначение пароля доступа к данному ресурсу непосредственно пользователем, осуществляется с использованием средств вычислительной техники и специального программного обеспечения.

8.4 Доведение до пользователей паролей, выработанных АП и предназначенных для ввода с клавиатуры, осуществляется:

- посредством выдачи пользователю Карточки паролей (приложение 6)

- под роспись с отметкой в Журнале выдачи парольной документации (приложение 7).

9. Парольная документация

9.1. АП АС "АСП" на основании Таблиц допуска формирует пакет парольной документации, в который входят следующие документы:

- комплект Таблиц доступа с указанием срока их действия;

- комплект Карточек паролей:

9.2. Таблица доступа формируется отдельно для каждого ресурса. Допускается сведение таблиц доступа к нескольким ресурсам в одну при условии установки указанных в них паролей одним АП.

9.3. В Таблице доступа указываются только пароли, предназначенные для замены паролей с истекающим сроком действия.

9.4. На основании Таблицы допуска в соответствии с предоставленными полномочиями АП АС "АСП" осуществляет настройку соответствующей системы разграничения доступа к ресурсу (с использованием специализированных или встроенных средств защиты).

9.5. Для обеспечения возможности оперативной смены пароля в случае его компрометации, а также в случае кадровых перестановок пользователей, в Таблице доступа для каждого из защищаемых ресурсов АС "АСП" указывается несколько резервных паролей без привязки их к конкретному пользователю. Количество резервных паролей определяется исходя из реальных потребностей.

10. Смена аутентификаторов при кадровых изменениях

10.1. В случае прекращения действия служебного контракта (трудового договора) с государственным гражданским служащим (работником), а при необходимости и при кадровых перестановках, руководители отделов департамента демографической политики, социальной защиты, опеки и попечительства Министерства обязаны предоставить АП письменную заявку на внесение изменения в таблицу допуска пользователей к защищаемым ресурсам не позднее, чем за 3 календарных дня до предполагаемой даты увольнения (кадровой перестановки).

10.2. Карточки паролей увольняемых, а также перемещаемых в связи с изменением должностных обязанностей пользователей, подлежат возвращению АП.

10.3. Аутентификатор учетной записи уволенных пользователей меняется не позднее, чем в день увольнения, с изменением в парольной карточке уволенного пользователя. АП несет персональную ответственность за своевременную смену идентификатора учетной записи уволенного сотрудника, а также за хранение парольных карточек уволенных сотрудников.

10.4. Факт внесения изменений в настройку системы аутентификации фиксируется АП на заявке с указанием даты и времени внесения изменений и заверяется его подписью.

10.5. Заявка на внесение изменений в Таблицу допуска хранится у АП и подлежит уничтожению не ранее уничтожения соответствующей таблицы.

10.6. После окончания срока действия паролей комплект парольной документации подлежит уничтожению. Уничтожение парольной документации производится комиссией в составе 3-х человек, назначаемой руководителем соответствующего учреждения, и оформляется актом.

10.7. Уничтожение карточек паролей пользователей производится в 10-дневный срок с момента вывода паролей из действия. Отметка об уничтожении карточек паролей пользователей производится на обратной стороне Таблицы доступа. Уничтожение Таблиц доступа пользователей с паролями, выведенными из действия, производится в конце календарного года.

10.8. При увольнении или кадровом перемещении АП. ответственного за выработку и установку паролей или хранение парольной документации, замене подлежат все установленные им пароли и доступная ему парольная документация.

11. Действия при компрометации аутентификатора или парольной документации

11.1. Под компрометацией аутентификатора понимается: утрата Карточки паролей, разглашение пароля, утрата Таблиц доступа пользователей (явная компрометация) или иная ситуация, которая дает основание для предположения о нарушении секретности пароля (неявная компрометация).

11.2. При выявлении факта компрометации аутентификатора пользователь незамедлительно обязан сообщить о факте выявления непосредственному руководителю. Руководитель сообщает о факте компрометации АП.

11.3. В случае выявления факта компрометации аутентификатора пользователя АП обязан немедленно заблокировать учетную запись пользователя, аутентификатор которого скомпрометирован.

11.4. Расследование факта компрометации проводится комиссией, назначаемой приказом руководителя Министерства.

11.5. Результаты работы комиссии оформляются актом. Акт подлежит утверждению руководителем Министерства.

11.6. Акты на уничтожение выведенных из действия парольных документов, материалы расследования фактов компрометации хранятся не менее 2-х лет.

11.7. Выдача пользователю нового аутентификатора производится по решению руководителя Министерства.

11.8. При компрометации парольной документации (всей или части) АП обязан немедленно принять меры по замене всех паролей системы на резервные, доложить о факте компрометации паролей в отдел информационной безопасности комитета Тульской области по информатизации и связи.