Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Приложение N 3
к Положению об обеспечении
защиты информации,
обрабатываемой
в информационных
системах Администрации
города Омска
УТВЕРЖДАЮ
Руководитель
_________________________
(подпись)
"___" ____________ 20__ г.
ИНСТРУКЦИЯ
по организации парольной защиты в информационной системе
_______________________________________________________,
наименование информационной системы (сегмента)
расположенной по адресу:________________________________
1. Общие положения
1. Настоящая Инструкция предназначена для использования в работе
и определяет порядок обеспечения защиты локальных ресурсов
в информационной системе (сегменте)
________________________________________________________________________,
наименование информационной системы (сегмента)
(далее - ИС), использующих парольную защиту от несанкционированного
доступа (далее - НСД).
2. Парольная защита при работе в ИС осуществляется с целью
предотвращения НСД к информации.
3. Парольная защита ИС является составной частью подсистемы
управления доступом общей системы защиты от НСД.
4. К основным видам (категориям) паролей относятся:
- пароли доступа к локальным ресурсам средств вычислительной
техники (далее - СВТ);
- пароли доступа к прикладным программам, обеспечивающим доступ к
информации;
- пароль доступа средств защиты от НСД;
- пароли систем доступа встроенных в используемые операционные
системы (далее - ОС).
5. Порядок работы с паролями и персональными идентификаторами
вводится с момента подписания данной Инструкции.
2. Требования к организации парольной защиты
объекта информатизации
6. Личные пароли доступа к ИС, системе защиты ИС от НСД, а также
пароли встроенных в операционную систему ИС систем доступа выбираются
пользователями самостоятельно и устанавливаются в ИС администратором
безопасности. Также администратором безопасности присваиваются и
выдаются пользователям персональные идентификаторы.
Пользователю при выборе пароля необходимо руководствоваться
следующими требованиями:
- длина пароля должна быть не менее 6 символов;
- пароль не должен включать в себя легко вычисляемые сочетания
символов (имена, фамилии, дни рождения и другие памятные даты, номер
телефона, автомобиля, адрес местожительства, наименования
автоматизированного рабочего места, общепринятые сокращения (ЭВМ, ЛВС и
т.д.), и другие данные, которые могут быть подобраны злоумышленником
путем анализа информации о пользователе пароля;
- не использовать в качестве пароля один и тот же повторяющийся
символ либо повторяющуюся комбинацию из нескольких символов;
- не использовать в качестве пароля комбинацию символов, набираемых
в закономерном порядке на клавиатуре (например, 1234567 или 1йфячыц2 и
т.п.);
- при смене пароля новое значение должно отличаться от предыдущего
не менее чем в 5 позициях;
- в числе символов пароля обязательно должны присутствовать буквы в
верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *,
% и т.п.);
- не использовать ранее использованные пароли.
7. Лица, использующие паролирование и персональные идентификаторы,
обязаны:
- четко знать и строго выполнять требования настоящей Инструкции и
других документов по паролированию;
- своевременно сообщать администратору безопасности ИС обо всех
нештатных ситуациях, нарушениях работы подсистем защиты от НСД,
возникающих при работе с паролями или персональными идентификаторами;
- хранить в тайне свой пароль от других пользователей, а также
посторонних лиц;
- хранить персональный идентификатор в недоступных для посторонних
лиц местах (личный сейф, хранилище и т.д.);
- по первому требованию администратора безопасности предъявить
персональный идентификатор.
8. При организации парольной защиты запрещается:
- записывать свои пароли в очевидных местах, вроде внутренности
ящика стола, на корпусах СВТ, на обратной стороне клавиатуры и т.д.;
- хранить пароли в записанном виде в рабочих тетрадях, на отдельных
листах бумаги;
- хранить или оставлять персональный идентификатор в местах, куда
возможен неконтролируемый доступ посторонних лиц;
- сообщать посторонним лицам свои пароли или передавать им
персональные идентификаторы, а также сведения о применяемой системе
защиты от НСД.
9. Руководители подразделений несут ответственность за организацию
работ в подразделении по выполнению требований настоящей Инструкции и
других документов, регламентирующих использование парольной защиты.
10. Ответственность за непосредственную работу с паролями и
персональными идентификаторами (своевременный ввод в действие, замену и
уничтожение и т.д.) возлагается на администратора безопасности.
11. На администратора безопасности возлагаются следующие задачи:
- обеспечение функционирования системы парольной защиты;
- своевременный ввод в действие, замена и уничтожение паролей и
персональных идентификаторов;
- контроль за реализацией требований по обеспечению безопасности
при использовании паролей в ИС.
3. Порядок применения парольной защиты
12. Организация парольной защиты в ИС приведена в пункте 16
настоящей Инструкции. Защита с применением паролей других технических
средств и программных продуктов осуществляется в соответствии с
эксплуатационной документацией на эти средства.
Полная плановая смена паролей в ИС должна проводиться регулярно, не
реже одного раза в месяц.
13. Внеплановая смена (удаление) личного пароля либо персонального
идентификатора любого пользователя ИС должна производиться в следующих
случаях:
- по окончании срока действия;
- в случае прекращения полномочий (увольнение, переход на другую
работу внутри организации) пользователя после окончания последнего
сеанса работы данного пользователя в ИС;
- при обнаружении факта успешной попытки несанкционированного
доступа к элементам ИС (меняются пароли доступа к объекту, подвергшемуся
нападению);
- при обнаружении факта компрометации базы данных, содержащих
пароли пользователей;
- по указанию администратора безопасности.
14. В случае отказа системы в идентификации пользователя либо не
подтверждения личного пароля пользователю следует немедленно обратиться
к администратору безопасности.
15. Для предотвращения доступа к обрабатываемой информации,
находящейся в ИС минуя ввод пароля, пользователь по окончании сеанса
работы или во время перерыва в работе обязан осуществить выход из
системы и выключение СВТ.
16. Смена пароля проводится пользователями с необходимой
периодичностью (не реже одного раза в месяц).
Администратор информационной безопасности устанавливает время
действия пароля не менее месяца.
Пароли, используемые для локального доступа к программно-аппаратным
средствам и доступа к ресурсам ИС, вводятся пользователем с клавиатуры.
17. Компрометация действующих паролей является чрезвычайным
происшествием, о чем пользователь сообщает администратору безопасности.
Под компрометацией понимается хищение, утрата действующих паролей
или персональных идентификаторов, передача или сообщение их лицам, не
имеющим на то права, несанкционированный доступ к данным пользователя,
защищаемым паролем, другие действия ответственного исполнителя,
приведшие к получению его пароля лицами, не имеющими на то права.
18. Скомпрометированные пароли и персональные идентификаторы
выводятся из действия немедленно.
Пользователь в случае компрометации действующих паролей принимает
меры по предотвращению работы с СВТ или ресурсом ИС, где используются
скомпрометированные пароли, до ввода новых паролей, сообщив немедленно о
случившемся администратору информационной безопасности.
С получением информации о случае компрометации паролей
администратор безопасности проводит анализ и оценку данного случая,
после чего изменяет пароли в СЗИ от НСД и при необходимости в ИС.
19. В случае компрометации паролей администратора безопасности,
когда создается угроза доступа к базе данных паролей всех пользователей,
производится внеплановая смена паролей всех пользователей.
Порядок внеплановой смены пароля аналогичен плановой смене паролей.
20. По каждому случаю, связанному с компрометацией действующих
паролей и персональных идентификаторов, руководителем подразделения
организуется и проводится проверка.
По результатам проверки к лицам, допустившим разглашение паролей,
применяются меры ответственности, предусмотренные действующим
законодательством.
С инструкцией ознакомлен:
N |
Фамилия, имя, отчество |
Должность |
Подпись, дата |
|
|
|
|
|
|
|
|
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.