Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ комитета по финансам, налоговой и кредитной политике города Барнаула от 13 мая 2022 г. N 93 "Об утверждении Положения об обеспечении безопасности общедоступной информации в информационных системах комитета по финансам, налоговой и кредитной политике города Барнаула" (с изменениями и дополнениями)
- Приложение. Положение об обеспечении безопасности общедоступной информации в информационных системах комитета по финансам, налоговой и кредитной политике города Барнаула
- Приложение 1. Порядок организации парольной защиты в информационных системах комитета по финансам, налоговой и кредитной политике города Барнаула
Приложение 1. Порядок организации парольной защиты в информационных системах комитета по финансам, налоговой и кредитной политике города Барнаула
Приложение 1
к Положению об обеспечении
безопасности общедоступной
информации в информационных
системах комитета по финансам,
налоговой и кредитной
политике города Барнаула
Порядок
организации парольной защиты в информационных системах комитета по финансам, налоговой и кредитной политике города Барнаула
1. Перечень использованных сокращений, единиц и терминов
АИБ - администратор информационной безопасности.
ИС - информационная система.
ЛВС - локальная вычислительная сеть.
НСД - несанкционированный доступ.
ПО - программное обеспечение.
Администратор информационной безопасности - специалист отдела внедрения автоматизированных систем финансовых расчетов, осуществляющий контроль за обеспечением защиты информации в ИС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.
2. Общие положения
2.1. Настоящий Порядок регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах общего пользования, муниципальных информационных системах, информационных системах персональных данных, информационных системах, содержащих другие виды конфиденциальной информации, за исключением систем, содержащих сведения, составляющие государственную тайну, и систем, относящихся к ключевым системах информационной инфраструктуры (далее по тексту - ИС, защищаемые информационные ресурсы) в комитете по финансам, налоговой и кредитной политике города Барнаула, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.
2.2. Идентификация/аутентификация пользователей осуществляется посредством использования паролей, при технической возможности - средствами усиленной аутентификации.
2.3. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИС комитета по финансам, налоговой и кредитной политике города Барнаула и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на АИБа.
3. Порядок организации работы пользователя ИС с использованием пароля
3.1. Доступ к защищаемым информационным активам комитета по финансам, налоговой и кредитной политике города Барнаула должен производиться с использованием персональных учетных записей и периодически сменяемых буквенно-цифровых паролей, удовлетворяющих следующим требованиям:
- пароль содержит не менее шести символов, включая буквы латинского алфавита обоих регистров и цифры;
- не является словом, присутствующим в словарях, или профессиональным термином, в т. ч. набранным в другой раскладке клавиатуры;
- не основывается на семейной, служебной и другой легко доступной информации (фамилии, имена, даты рождения, клички животных, автомобильные и телефонные номера, названия организаций, адреса сайтов и т. п.);
- не содержит легко угадываемые последовательности символов (123456, aaabbb, qwerty, q1w2e3 и т. п.);
- не совпадает с номером помещения, названием подразделения, месяцем (312313, бухгалтерия, январь, март 2011);
- одним из способов создания безопасных, но легко запоминающихся паролей является кодирование стихотворной строки или осмысленного утверждения. Так, пароль, созданный на основе фразы: "Вот один пример надежного и запоминающегося пароля", может быть таким: "VotlPN&ZP".
3.2. Временный пароль, создаваемый при заведении учетной записи или смене забытого пароля, должен быть уникальным, передаваться способом, исключающим доступ к нему других лиц, и быть сменен пользователем при первом обращении к активу. Пароли, предустановленные производителем, должны сменяться до начала эксплуатации актива.
3.3. Пользователям запрещается:
- сообщать свой персональный пароль другим лицам или записывать его на материальных носителях, доступных для других лиц (кроме предусмотренных случаев сохранения паролей ключевых учетных записей владельцем информационного актива);
- сохранять пароль в программно-технических средствах в открытом виде или использовать средства его автоматического ввода;
- использовать легко угадываемый алгоритм смены пароля (например, F%1hTR8 -* F%2hTR8 -> F%3hTR8, или F%1hTR8 -* Fl%hTR8 -* F1h%TR8 и др.);
- использовать учетные записи других лиц;
- использовать вне комитета по финансам, налоговой и кредитной политике города Барнаула пароли, совпадающие с паролями доступа к его информационно-технологическим активам;
- использовать в качестве паролей примеры, приведенные в настоящем Порядке.
4. Порядок резервирования паролей
4.1. По решению председателя комитета по финансам, налоговой и кредитной политике города Барнаула или АИБа, может применяться резервирование некоторых паролей, таких, как пароли администраторов информационных систем (программистов), пароли ответственных должностных лиц, пароли отдельных пользователей, выполняющих важные функции, пароли, обеспечивающие работу отдельных сетевых сервисов.
4.2. Для резервирования пароля выполняются следующие действия:
- пароль записывается на лист бумаги - парольную карту (приложение 1) и заверяется личной подписью;
- лист с записью пароля вкладывается владельцем в конверт. Конверт не должен допускать просмотр записи пароля на просвет. Если конверт недостаточно плотный, в него может быть вложен лист темной бумаги. Конверт заклеивается, опечатывается;
- на конверте владелец пароля указывает свою должность, фамилию и инициалы, наименование информационного средства, которое защищается этим паролем, текущие дату и время, при необходимости - другие данные, и заверяет запись личной подписью;
- конверт передается председателю комитета по финансам, налоговой и кредитной политике города Барнаула или АИБу и учитывается в журнале учета парольных карт (приложение 2). Учетный номер (сквозной по Журналу) проставляется ответственным за хранение на конверте.
- пример оформления конверта приведен в приложении 1.
4.3. Конверты с паролями хранятся в сейфе председателя комитета по финансам, налоговой и кредитной политике города Барнаула или АИБа и не реже, чем один раз в месяц он проверяет их наличие по журналу учета.
4.4. При замене пароля конверт передается владельцу пароля, который уничтожает лист с резервным паролем, о чем делается запись в журнале учета парольных карт. Новый резервный пароль подготавливает к хранению так, как указано выше. Новый конверт учитывается в журнале учета парольных карт отдельной позицией.
4.5. Вскрытие конверта с паролем производится по решению руководителя структурного подразделения (начальника отдела) владельца в случае необходимости использования прав доступа его владельца в отсутствие самого владельца. Для вскрытия конверта назначается комиссия не менее чем из трех сотрудников комитета по финансам, налоговой и кредитной политике города Барнаула. О вскрытии конверта комиссией составляется акт, утверждаемый председателем комитета по финансам, налоговой и кредитной политике города Барнаула или АИБом, который по окончании работы комиссии хранится не менее 1 года.
4.6. При появлении владельца пароля после факта вскрытия конверта пароль заменяется на новый и вновь сохраняется его копия, как описано выше.
5. Порядок смены паролей
5.1. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в два месяца.
5.2. Внеплановая смена личного пароля или удаление учетной записи пользователя ИС проводится в случае прекращения его полномочий (увольнение, переход на другую работу внутри территориального органа организации и т.п.) производится АИБом немедленно после окончания последнего сеанса работы данного пользователя с системой.
5.3. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри территориального органа организации и другие обстоятельства) АИБа.
5.4. В случае компрометации личного пароля пользователя ИС, проводится внеплановая смена пароля в зависимости от полномочий владельца скомпрометированного пароля.
6. Заключительные положения
6.1. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на руководителей структурного подразделения (начальников отделов), периодический контроль - возлагается на АИБа.
6.2. В зависимости от критичности информационно-технологического актива, его владельцем могут быть установлены более высокие требования к сложности пароля и периодичности смены.
6.3. Процессы создания, изменения, использования, блокирования, удаления учетных записей, а также смены паролей должны быть регламентированы, протоколироваться и контролироваться.