Приложение N 19. Инструкция по организации парольной защиты в информационных системах министерства экономического развития Рязанской области. Приказ Министерства экономического развития Рязанской области от 29.07.2022 N 214 "Об утверждении организационно-распорядительной документации по организации обработки и защите персональных данных в министерстве экономического развития Рязанской области" (с изменениями и дополнениями)

Приложение N 19
к приказу
министерства
экономического развития
Рязанской области
от 29 июля 2022 г. N 214

Инструкция
по организации парольной защиты в информационных системах министерства экономического развития Рязанской области

1. Общие положения

1.1. Данная инструкция регламентирует организационные и технические вопросы применения парольной защиты в информационных системах персональных данных министерства экономического развития Рязанской области (далее - Министерство).

1.2. Данная инструкция применяется для всех систем и средств, которые обеспечивают безопасность персональных данных при их автоматизированной обработке.

1.3. Цель данной инструкции установить правила применения парольной защиты в Организации, обязанности и ответственность участвующих в процессе парольной защиты лиц.

2. Порядок создания, использования, изменения и прекращения действия атрибутов доступа к информационной системе

2.1. Каждому субъекту информационной системы персональных данных (пользователю), допущенному в установленном порядке к обработке персональных данных или к работам с информационной системой персональных данных, присваиваются персональные идентификаторы (логины, имена пользователей) на доступ к техническим средствам и информационным ресурсам информационной системы персональных данных.

2.2. Персональный идентификатор создается администратором объекта информатизации (на основании заявки пользователя информационной системы персональных данных на допуск к обрабатываемой информации в информационной системе персональных данных). Персональному идентификатору соответствуют определенные приказом для данного пользователя полномочия в информационной системе персональных данных и пароль, обеспечивающий аутентификацию (проверку подлинности) в информационной системе.

2.3. Первичный пароль генерируется администратором объекта информатизации в момент создания идентификатора и выдается пользователю под подпись.

2.4. При первом доступе пользователь обязан изменить выданный ему пароль, руководствуясь требованиями к сложности пароля, указанными в настоящей Инструкции (п. 2.7).

2.5. Пользователь несет ответственность за все действия, совершенные в информационной системе персональных данных с использованием его атрибутов доступа (идентификатора и пароля).

2.6. В случаях, предусмотренных нормативными документами по защите персональных данных, либо по решению министра экономического развития Рязанской области или заместителя министра экономического развития Рязанской области при особой ценности для Министерства, сведений, к которым необходимо обеспечить безопасный доступ, помимо паролей используются дополнительные атрибуты доступа - аппаратные идентификаторы (смарт-карты, электронные ключи), которые обеспечивают более надежную многофакторную аутентификацию.

2.7. Требования к сложности пароля:

- длина пароля должна быть не менее шести символов;

- в числе символов пароля обязательно должны присутствовать строчные и прописные буквы, цифры и специальные символы (@, #, $, &, *, %, ?, !, /, + и т.п.);

- пароль не должен включать в себя легко вычисляемые значения символов (имена, фамилии, имена детей или домашних животных, наименования информационных систем, типичных для организации профессиональных терминов, номера телефонов, номера или марки автомобилей, адреса и т. д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);

- при смене пароля новое значение должно отличаться от предыдущего не менее чем в трех символах;

2.8. Пароль действует не более 90 дней, по истечении которых пользователь обязан заменить его новым.

2.9. В информационной системе должна быть предусмотрена реакция системы на попытки подбора паролей путем временного блокирования доступа пользователя, с использованием атрибутов доступа которого осуществляется попытка подбора пароля. Число попыток ввода пароля и время блокирования доступа определяет администратор безопасности ИСПДН.

3. Обязанности пользователя информационной системы персональных данных

3.1. Помнить свой идентификатор и пароль.

3.2. Обеспечивать сохранность полученных аппаратных идентификаторов. Не предоставлять доступ к личному аппаратному идентификатору никому, кроме администратора информационной безопасности.

3.3. Держать свой пароль в тайне, а именно не сообщать, не разглашать и любым другим способом не доводить до чьего-либо сведения (в том числе других сотрудников Организации, в том числе руководителей) личный пароль.

3.4. Осуществлять ввод пароля только в условиях, исключающих его просмотр.

3.5. Не хранить записки-памятки с личным паролем на видном и/или легкодоступном месте: на столе, на мониторе, под клавиатурой, в верхнем ящике стола и т.п.

3.6. Своевременно сообщать администратору объекта информатизации и администратору информационной безопасности о фактах компрометации пароля (когда пароль стал или может быть известен еще кому-либо кроме его владельца), об утере или повреждении аппаратного идентификатора и в этих случаях не использовать информационную систему персональных данных до специального разрешения администратора информационной безопасности и администратора объекта информатизации.

4. Обязанность администратора объекта информатизации

4.1. Организационное и техническое обеспечение процессов создания, использования, изменения и прекращения действия атрибутов доступа в информационной системе, контроль за действиями пользователей информационной системы персональных данных при работе с атрибутами доступа возлагается на ответственного за безопасность информационной системы персональных данных.

4.2. Администратор объекта информатизации обязан:

- создавать, вести учет, закрепление и выдачу пользователям атрибутов доступа к техническим средствам и информационным ресурсам информационной системы персональных данных;

- принимать меры по обеспечению внеплановой смены паролей в случае их компрометации или утере аппаратных идентификаторов; сообщать ответственному за организацию обработки персональных данных о подобных инцидентах;

- выявлять и пресекать действия пользователей, которые могут привести к компрометации паролей и (или) утрате аппаратных идентификаторов.

4.3. Действия администратора объекта информатизации при компрометации паролей и утрате аппаратных идентификаторов:

4.3.1. Заблокировать доступ пользователя, владельца скомпрометированного пароля и (или) утраченного идентификатора, к информационной системе персональных данных.

4.3.2. Произвести анализ журналов информационной системы с целью выявления действий, произведенных в информационной системе с использованием скомпрометированных атрибутов доступа.

4.3.3. Доложить ответственному за организацию обработки персональных данных об инциденте и предоставить отчет по результатам анализа журналов.

4.3.4. Совместно с ответственным за организацию обработки персональных данных определить необходимость расследования инцидента.

4.3.5. Создать и выдать пользователю новые атрибуты доступа к информационной системе персональных данных.

5. Ответственность

5.1. Пользователи информационной системы персональных данных несут ответственность, предусмотренную законодательством Российской Федерации за действия, совершенные в информационной системе с использованием принадлежащих им атрибутов доступа.

5.2. Пользователи информационной системы персональных несут дисциплинарную ответственность за невыполнение требований настоящей инструкции.

6. Заключительные положения

6.1. Пользователи информационной системы персональных данных должны быть предупреждены об ответственности за действия с атрибутами доступа, нарушающие требования настоящей инструкции.

6.2. Сотрудники Министерства должны быть ознакомлены с настоящей инструкцией до начала работы с информационной системой персональных данных под роспись. Обязанность ознакомления сотрудников с настоящей инструкцией лежит на администраторе информационной безопасности.