Приложение N 4. Инструкция по организации парольной защиты объекта информатизации автоматизированной системы "РЭК" Региональной энергетической комиссии Омской области. Приказ Региональной энергетической комиссии Омской области от 07.03.2023 N 3-П "О создании автоматизированной системы для обработки информации ограниченного доступа"

Приложение N 4
к приказу Региональной энергетической
комиссии Омской области
от 7 марта 2023 года N 3-П

Инструкция
по организации парольной защиты объекта информатизации автоматизированной системы "РЭК" Региональной энергетической комиссии Омской области

1. Общие положения

1.1. Настоящая инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей пользователей (администратора) на объекте информатизации (ОИ) автоматизированной системе "РЭК" (далее - АС) Региональной энергетической комиссии Омской области (далее - РЭК), предназначенных для обработки конфиденциальной информации.

1.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей пользователей на ОИ возлагается на администратора безопасности (далее - администратора).

2. Правила организации парольной защиты

2.1. Аутентификация авторизированных субъектов доступа осуществляется с помощью парольной защиты (логин + пароль), электронных ключей, комбинированных методов аутентификации (двухфакторная аутентификация) и других программно-технических средств разграничения доступа пользователей. Способ аутентификации авторизированных пользователей определяется в соответствии с категорией обрабатываемой информации.

2.2. При регистрации нового пользователя администратор безопасности должен назначить для него пароль, персональный код либо другую уникальную информацию для доступа к информационным ресурсам объекта информатизации.

2.3. Каждый пароль должен выбираться и генерироваться пользователем и администратором с учетом следующих требований:

- длина пароля должна быть не менее 8 символов;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #. $, &, *, % и т.п.);

- символы паролей должны вводиться в режиме латинской раскладки клавиатуры;

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т.д.), а также общепринятые сокращения (ЭВМ, USER и т.п.);

- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;

- личный пароль пользователь не имеет права сообщать никому.

Администратор несет ответственность за обеспечение процесса генерации пароля, не соответствующего данным требованиям.

2.4. Для генерации "стойких" значений паролей могут применяться специальные программные средства.

2.5. Плановая смена пароля пользователя должна проводиться регулярно, не реже одного раза в 60 дней.

2.6. Внеплановая смена пароля в случае прекращения полномочий сотрудника (увольнение, переход на другую работу и т.п.) должна производиться администратором немедленно после окончания последнего сеанса работы данного пользователя с системой.

2.7. Полная внеплановая смена паролей всех пользователей должна производиться в случае прекращения полномочий администратора (увольнение, переход на другую работу и т.п.).

2.8. Каждый пользователь несет ответственность за неразглашение личного пароля третьим лицам и сохранность персонального идентификатора. Хранение пользователем своих паролей и (или) идентификаторов на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе администратора в опечатанном личной печатью пенале (конверте).

2.9. Если пользователь уверен в правильности ввода названия учетной записи и пароля, но ему не удается войти в систему, пользователь обязан незамедлительно сообщить об этом администратору безопасности для получения нового пароля.

2.10. Если пользователь заметит несанкционированное появление, изменение или удаление информации, он должен немедленно сообщить об обнаруженных изменениях руководителю структурного подразделения и администратору безопасности.

2.11. Набор личного пароля следует проводить, в отсутствии лиц, которые потенциально могут увидеть процесс набора.

2.12. При оставлении рабочего места необходимо завершить открытую пользовательскую сессию либо использовать функцию "временной блокировки" рабочей станции (сочетание клавиш Windows + L).

2.13. Пользователям запрещается:

- передача личного пароля посторонним лицам, в том числе сотрудникам РЭК;

- запись личного пароля доступа на материальные носители в открытом виде;

- оставлять без присмотра рабочее место с открытой пользовательской сессией.

2.14. В случае утраты надежности (компрометации) личного пароля, либо подозрения о компрометации пароля, пользователь обязан незамедлительно поставить об этом в известность администратора безопасности для исключения возможности утечки информации и принятия мер по внеплановой смене личного пароля.

2.15. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора безопасности.

2.16. Любые действия пользователей и посторонних лиц нарушающие требования настоящей Инструкции, категорируемые как значимые нарушения и нарушения, имеющие признаки компьютерного преступления, должны анализироваться через процедуру служебного расследования.

2.17. Каждый сотрудник Региональной энергетической комиссии Омской области несет персональную ответственность за обеспечение информационной безопасности на своем рабочем месте.

2.18. Пользователи и Администраторы несут ответственность, установленную действующим законодательством Российской Федерации за разглашение сведений, составляющих государственную тайну, ставших известными им в процессе выполнения своих должностных обязанностей.

2.19. Ответственный за организацию парольной защиты: начальник отдела информационного обеспечения РЭК.