Приложение N 2. Парольная политика на автоматизированных рабочих местах Департамента экономического развития Севастополя. Приказ Департамента экономического развития г. Севастополя от 15.03.2022 N 57 "Об организации защиты информации в Департаменте экономического развития города Севастополя"

Приложение N 2
УТВЕРЖДЕНА
приказом Департамента
экономического развития
города Севастополя
от 15.03.2022 г. N 57

Парольная политика
на автоматизированных рабочих местах Департамента экономического развития Севастополя

1. Настоящая Политика определяет порядок обеспечения надежных средств идентификации и аутентификации пользователей и администраторов автоматизированных рабочих местах (далее - АРМ) Департамента экономического развития города Севастополя (далее - Департамент), обрабатывающих в Департаменте на правах обладателя информации в связи с реализацией служебных отношений, а также в связи с осуществлением государственных функций, в том числе, в государственных информационных системах Департамента, в том числе, информацию с ограниченным доступом, не содержащую сведений, составляющих государственную тайну, согласно "Перечням персональных данных, обрабатываемых в Департаменте экономического развития города Севастополя в связи с реализацией служебных отношений, а также в связи с осуществлением государственных функций", утвержденных приказом Департамента от 03.03.2022 N 49 "Об организации обработки персональных данных в Департаменте экономического развития города Севастополя".

2. Ответственным за обеспечение выполнения настоящей Политики является администратор безопасности, назначенный правовым актом Департамента (далее - Администратор).

3. Установку первичного пароля производит Администратор. Ответственность за сохранность первичного пароля несет Администратор.

4. При создании первичного пароля Администратор обязан установить опцию, требующую смену пароля при первом входе в операционную систему, а также уведомить владельца учетной записи (пользователя АРМ) о необходимости произвести смену пароля.

5. Установку нового пароля производит пользователь при первом входе в систему с новой учетной записью.

6. В случае, если пользователь забыл пароль, он должен обратиться к Администратору для сброса забытого пароля и установки нового.

7. Личные пароли должны выбираться с учетом требований:

- длина пароля не менее семи символов;

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ, числа, сочетания цифр и т.п.), а также общепринятые сокращения (ЭВМ, USER и т.п.);

- пароль не должен содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков;

- пароль должен содержать знаки трех или четырех перечисленных категорий: латинские заглавные буквы, латинские строчные буквы, цифры, отличающиеся от букв и цифр знаки;

- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-х позициях.

8. Пользователь несет персональную ответственность за сохранность в тайне нового пароля.

9. Пользователям запрещается:

- записывать пароль и хранить его в легкодоступных местах, в том числе на мониторе, рабочем столе или общедоступных ящиках стола;

- сообщать пароль другим лицам;

- пересылать открытым текстом в электронных сообщениях;

- подбирать пароли других пользователей.

10. Пользователи обязаны заблокировать сеанс доступа в информационную систему при бездействии (неактивности).

11. Пользователи обязаны сообщать Администратору о всех случаях попыток противоправных действий пользователей в отношении других пользователей.

12. Полная плановая смена паролей должна проводиться регулярно, не реже одного раза в шесть месяцев для пользователей и не реже одного раза в двенадцать месяцев для Администратора и других технологических учетных записей.

13. Внеплановая смена личного пароля или удаление учетной записи пользователя в случае прекращения его полномочий в организации (увольнение, перевод на другую должность) должна производиться Администратором немедленно после окончания последнего сеанса работы данного пользователя с системой.

14. Внеплановая полная смена паролей всех пользователей должна производиться и в случае прекращения полномочий Администратора.

15. В случае компрометации личного пароля пользователя должны быть немедленно предприняты меры в соответствии с п. 13 или п. 14 настоящей Политики в зависимости от полномочий владельца скомпрометированного пароля.

16. Хранение пользователем своих паролей на бумажном носителе допускается только в личном хранилище (сейфе), либо в хранилище Администратора.

17. При возникновении нештатных ситуаций, форс-мажорных обстоятельств, которые влекут необходимость доступа к информации пользователя, отсутствующего на рабочем месте, по решению руководителя структурного подразделения может быть инициирован сброс пароля данного пользователя Администратором и осуществлен доступ к необходимой информации. По факту такого доступа составляется акт, описывающий условия осуществления доступа, который подписывается руководителем структурного подразделения, Администратором и сотрудником, запросившем доступ.

18. При использовании в служебной деятельности информационных систем, требующих парольного доступа в соответствии со своим регламентом (правилами пользования), назначение и смена паролей осуществляется в соответствии с настоящей Политикой.

19. Пользователи должны быть ознакомлены под роспись с настоящей Политикой. Повседневный контроль за действиями исполнителей при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на Администратора.