Приложение N 3. Инструкция по организации парольной защиты. Приказ Федерального агентства водных ресурсов от 30.04.2021 N 117 "Об обеспечении технической защиты информации, содержащей сведения конфиденциального характера, в информационных системах Федерального агентства водных ресурсов"

Приложение N 3
к приказу Федерального
агентства водных ресурсов
от 30.04.2021 г. N 117

Инструкция по организации парольной защиты

1. Введение

1.1 Цели и задачи

Настоящая Инструкция по организации парольной защиты (далее - Инструкция) Росводресурсов описывает требования ИБ в части парольной защиты.

Данный документ направлен на достижение следующих целей:

- определение принципов, требований и правил парольной защиты для информационных систем (далее - ИС) Росводресурсов;

- определение прав и обязанностей администратора ИБ и системных администраторов;

- информирование пользователей ИС Росводресурсов о правильном использовании паролей.

1.2 Область применения

Настоящая Инструкция распространяется на все структурные и обособленные подразделения Росводресурсов, территориальные органы и подведомственные организации Росводресурсов, персонал и взаимодействующие с Росводресурсами сторонние организации, обеспечивающие поддержку функционирования ИС Росводресурсов и/или имеющие права доступа к информационным ресурсам в составе ИС Росводресурсов.

Настоящая Инструкция не распространяется на виды деятельности, связанные с защитой и обработкой информации, содержащей сведения, составляющие государственную тайну.

2. Основные понятия

В настоящей Инструкции используются следующие основные понятия:

- аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности;

- компрометация пароля - случай, когда пароль стал доступен неуполномоченным лицам, в том числе утрата, хищение, несанкционированное копирование или подозрение на копирование пароля, а также другие ситуации, при которых имеются сомнения в отсутствии доступа к соответствующей информации неуполномоченных лиц;

- пароль - набор цифровых, буквенных и специальных символов, предназначенный для подтверждения личности и полномочий пользователя при доступе к автоматизированным системам для защиты информации от несанкционированного доступа; идентификатор субъекта доступа, который является его (субъекта) секретом;

- пользователь - субъект, участвующий в функционировании автоматизированной системы или использующий результаты её функционирования;

- учетная запись - набор данных о пользователе (имя, пароль и др.) в автоматизированной системе.

3. Общие положения

Индивидуальный пароль субъекта доступа (пользователя) служит для его аутентификации в ИС Росводресурсов и должен сохраняться им в тайне. Во избежание записи паролей на бумаге, пароль должен быть легко запоминаем, но, в то же время, быть достаточно сложным.

3.1 Правила генерации паролей

При работе с паролями, запрещается:

- длина пароля должна быть не менее 8 буквенно-цифровых символов;

- в пароле должны присутствовать символы из двух категорий: строчные буквы английского алфавита от а до z; прописные буквы английского алфавита от А до Z, десятичные цифры от 0 до 9, символы, не принадлежащие к алфавитно-цифровому набору;

- пароль не должен включать в себя легковычисляемые сочетания символов, например: части имени пользователя, номера комнат, день рождения и другие памятные даты, последовательности подряд идущих символов клавиатуры (например: 1234567, qwerty и т.п.), общепринятые сокращения (АРМ, ЛВС, USER, SYSOP, GUEST, ADMIN, ADMINISTRATOR, ROOT и т.п.);

- пароли не должны устанавливаться по единому для всех пользователей правилу, позволяющему определить пароли других работников, зная хотя бы один действующий пароль;

- недопустимо использовать в качестве пароля один и тот же повторяющийся символ, либо повторяющуюся комбинацию из нескольких символов (например: 111111 или w2w2w2 и т.п.).

Пароль должен выбираться пользователем самостоятельно и устанавливаться им при первом входе в ИС в рамках ИС Росводресурсов.

К паролям пользователей ИС в рамках ИС Росводресурсов дополнительно предъявляются следующие требования:

- пароли, выставленные по умолчанию, должны быть везде заменены пользователями до ввода в эксплуатацию;

- пароль должен иметь длину не менее восьми символов, в состав которых должны входить буквы латинского алфавита в верхнем и нижнем регистрах, цифры;

- учетные записи пользователей, имеющие привилегии системного уровня, должны иметь уникальные пароли, отличные от паролей других учетных записей этого пользователя;

- временные пароли (при первоначальной регистрации пользователя и взамен утерянных) должны назначаться системными администраторами и передаваться только после подтверждения личности пользователя; при этом не должна допускаться передача пароля в открытом виде, за исключением случая первичной выдачи компьютера и учетной записи пользователя.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

3.3 Порядок смены паролей

К паролям пользователей ИС Росводресурсов дополнительно предъявляются следующие требования к смене пароля:

- пароли должны меняться на регулярной основе не реже 1 раза в года#;

- при увольнении или перемещении администратора ИБ либо сотрудника системного администратора должны быть приняты меры по оперативному изменению их паролей и идентификаторов работниками, отвечающими за работу с учетными записями и паролями;

- должна быть предусмотрена процедура смены паролей в случае несанкционированного доступа к АРМ пользователей и в других нештатных ситуациях.

3.4 Требования к администрированию паролей

В ИС Росводресурсов должны быть активированы средства контроля сложности вводимого пароля и принудительной смены при истечении срока действия пароля, при их наличии.

В ИС Росводресурсов, во избежание повторного выбора одинакового пароля, должны быть активированы функции по контролю и недопущению выбора ранее использовавшихся паролей, если они имеются.

3.5 Хранение паролей

При работе с паролями запрещается:

- сообщать свой пароль кому-либо, включая работников Росводресурсов, администратора ИБ, сотрудников системного администратора, руководителей и т.д.;

- осуществлять ввод пароля в присутствии посторонних лиц;

- оставлять пароль в записанном виде в месте, доступном другим лицам;

- хранить пароли для доступа на компьютерах и других средствах хранения информации (дискеты, flash-диски, и коммуникаторы) в незашифрованной и доступной для чтения посторонними лицами форме.

4. Сферы ответственности

Действие настоящей Инструкции распространяется на следующих лиц:

- пользователи ИС Росводресурсов;

- системный администратор;

- администратор ИБ.

4.1 В сферу ответственности пользователей ИС Росводресурсов входит:

- знание и соблюдение установленных правил настоящей Инструкции;

- своевременное оповещение своего руководителя и администратора ИБ или системного администратора о фактах нарушения требований настоящей Инструкции (например: о фактах утери, кражи или разглашения парольной информации);

- сохранение пароля в тайне, обеспечение конфиденциальности ввода пароля с клавиатуры;

- смена пароля при первом входе в ИС Росводресурсов, смена пароля по истечении срока его действия, смена пароля при его компрометации;

- обеспечение требуемой сложности используемых паролей;

- в случае компрометации (случайной или намеренной) или утере пароля пользователь должен оперативно подать запрос на изменение пароля;

- пользователь несет персональную ответственность за конфиденциальность пароля и выполняемые от его имени действия.

4.2 В сферу ответственности системных администраторов входит:

- первичное создание паролей пользователей;

- информирование пользователей о положениях настоящей Инструкции;

- настройка встроенных в ИС Росводресурсов средств контроля сложности вводимых паролей и срока их действия;

- смена паролей доступа пользователей при утере пароля или при увольнении работника;

- проведение периодических проверок стойкости вводимых пользователями паролей;

- контроль соблюдения пользователями настоящей Инструкции;

- выполнение задач администрирования и централизованного управления средствами и данными идентификации и аутентификации с помощью средств контроля доступа.

4.3 В сферу ответственности администратора ИБ входит:

- методическое управление парольной защитой ИС Росводресурсов и выборочный контроль функционирования механизмов аутентификации компонентов ИС Росводресурсов;

- организация и проведение служебного расследования причин компрометации паролей пользователей;

- информирование пользователей о положениях настоящей Инструкции.

5. Рассылка и актуализация

Настоящая Инструкция должна быть доступна для ознакомления всем работникам Росводресурсов, а также предоставляться по необходимости подрядным организациям и третьим лицам.

Периодическая проверка актуальности настоящей Инструкции проводится администратором ИБ, системными администраторами по мере необходимости, а также в случае изменений модели угроз ИС Росводресурсов.

Основаниями для пересмотра и совершенствования Инструкции являются результаты внутренних и внешних аудитов безопасности, а также результаты анализа системы защиты информации в сочетании с использованием превентивных и корректирующих мер.

6. Ответственность и контроль исполнения

Работники, нарушающие требования настоящей Инструкции, могут быть подвергнуты дисциплинарным взысканиям, предусмотренным трудовым законодательством Российской Федерации.