Приложение N 3. Инструкция по организации парольной защиты в информационной системе. Постановление Администрации города Омска от 26.03.2021 N 188-п "Об обеспечении защиты информации, обрабатываемой в информационных системах Администрации города Омска" (с изменениями и дополнениями)

Приложение N 3
к Положению об обеспечении
защиты информации,
обрабатываемой
в информационных
системах Администрации
города Омска

                                                УТВЕРЖДАЮ

                                                Руководитель

                                                _________________________

                                                         (подпись)

                                               "___" ____________ 20__ г.

                               ИНСТРУКЦИЯ

           по организации парольной защиты в информационной системе

           _______________________________________________________,

                наименование информационной системы (сегмента)

           расположенной по адресу:________________________________

                          1. Общие положения

     1. Настоящая Инструкция предназначена  для  использования  в  работе

и    определяет    порядок    обеспечения   защиты   локальных   ресурсов

в             информационной             системе               (сегменте)

________________________________________________________________________,

             наименование информационной системы (сегмента)

(далее - ИС),   использующих  парольную  защиту  от  несанкционированного

доступа (далее - НСД).

     2.   Парольная  защита  при  работе  в  ИС  осуществляется  с  целью

предотвращения НСД к информации.

     3.    Парольная  защита  ИС  является  составной  частью  подсистемы

управления доступом общей системы защиты от НСД.

     4. К основным видам (категориям) паролей относятся:

     -   пароли  доступа  к  локальным  ресурсам  средств  вычислительной

техники (далее - СВТ);

     -  пароли  доступа  к прикладным программам, обеспечивающим доступ к

информации;

     - пароль доступа средств защиты от НСД;

     -  пароли  систем  доступа  встроенных  в  используемые операционные

системы (далее - ОС).

     5.  Порядок  работы  с  паролями  и  персональными  идентификаторами

вводится с момента подписания данной Инструкции.

              2. Требования к организации парольной защиты

                         объекта информатизации

     6.  Личные  пароли  доступа  к ИС, системе защиты ИС от НСД, а также

пароли  встроенных  в  операционную  систему ИС систем доступа выбираются

пользователями  самостоятельно  и  устанавливаются  в  ИС администратором

безопасности.    Также    администратором  безопасности  присваиваются  и

выдаются пользователям персональные идентификаторы.

     Пользователю    при    выборе  пароля  необходимо  руководствоваться

следующими требованиями:

     - длина пароля должна быть не менее 6 символов;

     -  пароль  не  должен  включать  в  себя легко вычисляемые сочетания

символов  (имена,  фамилии,  дни  рождения  и другие памятные даты, номер

телефона,        автомобиля,    адрес    местожительства,    наименования

автоматизированного  рабочего  места, общепринятые сокращения (ЭВМ, ЛВС и

т.д.),  и  другие  данные,  которые  могут быть подобраны злоумышленником

путем анализа информации о пользователе пароля;

     -  не  использовать  в  качестве  пароля один и тот же повторяющийся

символ либо повторяющуюся комбинацию из нескольких символов;

     -  не использовать в качестве пароля комбинацию символов, набираемых

в  закономерном  порядке  на клавиатуре (например, 1234567 или 1йфячыц2 и

т.п.);

     -  при  смене пароля новое значение должно отличаться от предыдущего

не менее чем в 5 позициях;

     -  в числе символов пароля обязательно должны присутствовать буквы в

верхнем  и  нижнем регистрах, цифры и специальные символы (@, #, $, &, *,

% и т.п.);

     - не использовать ранее использованные пароли.

     7.  Лица,  использующие паролирование и персональные идентификаторы,

обязаны:

     -  четко  знать и строго выполнять требования настоящей Инструкции и

других документов по паролированию;

     -  своевременно  сообщать  администратору  безопасности  ИС обо всех

нештатных    ситуациях,   нарушениях  работы  подсистем  защиты  от  НСД,

возникающих при работе с паролями или персональными идентификаторами;

     -  хранить  в  тайне  свой  пароль  от других пользователей, а также

посторонних лиц;

     -  хранить  персональный идентификатор в недоступных для посторонних

лиц местах (личный сейф, хранилище и т.д.);

     -  по  первому  требованию  администратора  безопасности  предъявить

персональный идентификатор.

     8. При организации парольной защиты запрещается:

     -  записывать  свои  пароли  в  очевидных местах, вроде внутренности

ящика стола, на корпусах СВТ, на обратной стороне клавиатуры и т.д.;

     -  хранить пароли в записанном виде в рабочих тетрадях, на отдельных

листах бумаги;

     -  хранить  или  оставлять персональный идентификатор в местах, куда

возможен неконтролируемый доступ посторонних лиц;

     -    сообщать  посторонним  лицам  свои  пароли  или  передавать  им

персональные  идентификаторы,  а  также  сведения  о  применяемой системе

защиты от НСД.

     9.  Руководители  подразделений несут ответственность за организацию

работ  в  подразделении  по  выполнению требований настоящей Инструкции и

других документов, регламентирующих использование парольной защиты.

     10.    Ответственность  за  непосредственную  работу  с  паролями  и

персональными  идентификаторами  (своевременный ввод в действие, замену и

уничтожение и т.д.) возлагается на администратора безопасности.

     11. На администратора безопасности возлагаются следующие задачи:

     - обеспечение функционирования системы парольной защиты;

     -  своевременный  ввод  в  действие,  замена и уничтожение паролей и

персональных идентификаторов;

     -  контроль  за  реализацией  требований по обеспечению безопасности

при использовании паролей в ИС.

                  3. Порядок применения парольной защиты

     12.  Организация  парольной  защиты  в  ИС  приведена  в  пункте  16

настоящей  Инструкции.  Защита  с  применением паролей других технических

средств    и   программных  продуктов  осуществляется  в  соответствии  с

эксплуатационной документацией на эти средства.

     Полная  плановая смена паролей в ИС должна проводиться регулярно, не

реже одного раза в месяц.

     13.  Внеплановая  смена (удаление) личного пароля либо персонального

идентификатора  любого  пользователя  ИС должна производиться в следующих

случаях:

     - по окончании срока действия;

     -  в  случае  прекращения  полномочий (увольнение, переход на другую

работу   внутри  организации)  пользователя  после  окончания  последнего

сеанса работы данного пользователя в ИС;

     -   при  обнаружении  факта  успешной  попытки  несанкционированного

доступа  к элементам ИС (меняются пароли доступа к объекту, подвергшемуся

нападению);

     -  при  обнаружении  факта  компрометации  базы  данных,  содержащих

пароли пользователей;

     - по указанию администратора безопасности.

     14.  В  случае  отказа  системы в идентификации пользователя либо не

подтверждения  личного  пароля пользователю следует немедленно обратиться

к администратору безопасности.

     15.    Для   предотвращения  доступа  к  обрабатываемой  информации,

находящейся  в  ИС  минуя  ввод  пароля, пользователь по окончании сеанса

работы  или  во  время  перерыва  в  работе  обязан  осуществить выход из

системы и выключение СВТ.

     16.    Смена    пароля    проводится  пользователями  с  необходимой

периодичностью (не реже одного раза в месяц).

     Администратор    информационной   безопасности  устанавливает  время

действия пароля не менее месяца.

     Пароли,  используемые для локального доступа к программно-аппаратным

средствам и доступа к ресурсам ИС, вводятся пользователем с клавиатуры.

     17.    Компрометация    действующих  паролей  является  чрезвычайным

происшествием, о чем пользователь сообщает администратору безопасности.

     Под  компрометацией  понимается  хищение, утрата действующих паролей

или  персональных  идентификаторов,  передача  или сообщение их лицам, не

имеющим  на  то  права, несанкционированный доступ к данным пользователя,

защищаемым    паролем,    другие   действия  ответственного  исполнителя,

приведшие к получению его пароля лицами, не имеющими на то права.

     18.    Скомпрометированные   пароли  и  персональные  идентификаторы

выводятся из действия немедленно.

     Пользователь  в  случае  компрометации действующих паролей принимает

меры  по  предотвращению  работы  с СВТ или ресурсом ИС, где используются

скомпрометированные  пароли, до ввода новых паролей, сообщив немедленно о

случившемся администратору информационной безопасности.

     С    получением    информации    о    случае  компрометации  паролей

администратор  безопасности  проводит  анализ  и  оценку  данного случая,

после чего изменяет пароли в СЗИ от НСД и при необходимости в ИС.

     19.  В  случае  компрометации  паролей  администратора безопасности,

когда  создается угроза доступа к базе данных паролей всех пользователей,

производится внеплановая смена паролей всех пользователей.

     Порядок внеплановой смены пароля аналогичен плановой смене паролей.

     20.  По  каждому  случаю,  связанному  с  компрометацией действующих

паролей   и  персональных  идентификаторов,  руководителем  подразделения

организуется и проводится проверка.

     По  результатам  проверки  к лицам, допустившим разглашение паролей,

применяются    меры    ответственности,    предусмотренные    действующим

законодательством.

     С инструкцией ознакомлен:

N п/п	Фамилия, имя, отчество	Должность	Подпись, дата