Приложение 5. Инструкция по организации парольной защиты в информационных системах персональных данных в администрации Абазинского муниципального района. Постановление администрации Абазинского муниципального района Карачаево-Черкесской Республики от 12.09.2015 N 290 "О защите персональных данных при их обработке в информационных системах персональных данных"

Приложение 5

к постановлению

администрации

Абазинского муниципального района

Карачаево-Черкесской Республики

от 12 сентября 2015 г. N 290

Инструкция
по организации парольной защиты в информационных системах персональных данных в администрации Абазинского муниципального района

1. Общие положения

1.1. Настоящая инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаление учетных записей пользователей) в информационной системе персональных (далее - ИСПДн) в администрации Абазинского (далее - администрация).

Настоящая инструкция оперирует следующими основными понятиями:

- Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;

- ИСПДн - информационная система персональных данных;

- Компрометация - факт доступа постороннего лица к защищаемой информации, а также подозрение на него;

- Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа;

- Пароль - уникальный признак субъекта доступа, который является его (субъекта) секретом;

- Правила доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа;

- Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа;

- Несанкционированный доступ - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или АС;

1.2. Инструкция разработана в соответствии с руководящими и нормативными документами регуляторов Российской Федерации в области защиты персональных данных.

1.3. Пользователями ИСПДн (далее - Пользователь) являются сотрудники администрации Абазинского муниципального района, участвующие в рамках выполнения своих функциональных обязанностей в процессах автоматизированной обработки персональных данных (далее - ПДн) и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты информации ИСПДн (далее - СЗИ).

1.4. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в ИСПДн и контроль над действиями Пользователей в ИСПДн осуществляет ответственный за обеспечение безопасности персональных данных в администрации Абазинского муниципального района (далее - Ответственный).

2. Организация парольной защиты

2.1. Личные пароли должны создаваться Пользователями самостоятельно.

2.2. В случае формирования личных паролей Пользователей централизованно, ответственность за правильность их формирования и распределения возлагается на Ответственного и Администратора в ИСПДн и на АРМ Пользователей соответственно.

2.3. Полная плановая смена паролей в ИСПДн проводится не реже одного раза в 3 месяца.

2.4. Внеплановая смена личного пароля Пользователя или удаление учетной записи в случае прекращения его полномочий (увольнение, переход на другую должность в ИСПДн и т.п.) должна производиться Администратором и Ответственным немедленно после окончания последнего сеанса работы Пользователя в АРМ и в ИСПДн соответственно.

2.5. В ИСПДн устанавливается ограничение на количество неуспешных попыток аутентификации (ввода логина и пароля) Пользователя, равное 7, после чего учетная запись блокируется.

2.6. Разблокирование учетной записи осуществляется Администратором и Ответственным для учетных записей Пользователя для АРМ и для ИСПДн соответственно.

2.7. После 10 минут бездействия (неактивности) Пользователя в АРМ или ИСПДн происходит автоматическое блокирование сеанса доступа в АРМ и ИСПДн соответственно.

ГАРАНТ:

Нумерация разделов приводится в соответствии с источником

2. Требования к формированию паролей

Пользователи при формировании паролей должны руководствоваться следующими требованиями:

3.1. Длина пароля должна быть не менее 8 символов.

3.2. В пароле должны обязательно присутствовать символы не менее 3-х категорий из следующих:

- буквы в верхнем регистре;

- буквы в и нижнем регистре;

- цифры;

- специальные символы, не принадлежащие алфавитно-цифровому набору (например, !, @, #, $, &, *, % и т.п.).

3.3. Пароль не должен включать в себя легко вычисляемые сочетания символов (например, "112", "911" и т.п.), а также общепринятые сокращения (например, "ЭВМ", "ЛВС", "USER" и т.п.).

3.4. Пароль не должен содержать имя учетной записи Пользователя или наименование его АРМ, а также какую-либо его часть.

3.5. Пароль не должен основываться на именах и датах рождения Пользователя или его родственников, кличек домашних животных, номеров автомобилей, телефонов и т.д., которые можно угадать, основываясь на информации о Пользователе.

3.6. Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов (например, "1111111", "wwwww" и т.п.).

3.7. Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, "1234567", "qwerty" и т.п.).

3.8. При смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.

3. Правила ввода паролей

Пользователи во время процедуры аутентификации (ввода логина и пароля) на АРМ и в ИСПДн должны руководствоваться следующими правилами:

4.1. Ввод