Приложение 6. Инструкция по организации парольной защиты. Приказ начальника Главного управления государственного административно-технического надзора Московской области от 27.06.2016 N 59-Пр-о "Об организации работ по технической защите информации в Главном управлении государственного административно-технического надзора Московской области"

Приложение 6

к приказу начальника Госадмтехнадзора

Московской области

от 27 июня 2016 г. N 59-Пр-о

Инструкция
по организации парольной защиты

Общие положения

Личные пароли доступа к информационным ресурсам (далее - ресурсы) Главного управления государственного административно-технического надзора Московской области (далее - Госадмтехнадзор Московской области) выдаются должностным лицам (далее - пользователям) администратором информационной безопасности.

Пароль, полученный пользователем от администратора информационной безопасности, необходимо сменить при первом входе в систему.

Пользователи обязаны производить смену паролей не реже одного раза в 90 дней.

Срочная (внеплановая) полная смена паролей производится в случае прекращения полномочий (увольнение, переход на другую работу и т. п.) администратора информационной безопасности или других работников, которым по роду работы были предоставлены полномочия по управлению системой парольной защиты.

Все действия, выполненные под логином и паролем конкретного пользователя, считаются совершенными этим пользователем.

В случае необходимости, получение доступа к данным пользователя, отсутствующего по тем и иным причинам на рабочем месте, предоставляется по письменному запросу руководителя подразделения.

Правила формирования пароля

Средство вычислительной техники (далее - СВТ), применяемое для работы с парольной информацией, должно быть оснащено антивирусным программным обеспечением и иметь актуальные антивирусные базы. Перед созданием (генерацией) парольных данных, должна быть выполнена антивирусная проверка СВТ на отсутствие вредоносного программного обеспечения (вирусов, программ отслеживания клавиатурного ввода и прочих

программных закладок). Программная среда СВТ не должна содержать нелицензионного программного обеспечения и программ, полученных из недоверенных источников, таких как файл-обменные и социальные сети, через средства обмена быстрыми сообщениями и т.п.

При регистрации нового пользователя в автоматизированной системе, администратором информационной безопасности устанавливается временный пароль, который должен быть сменен при первом входе в пользователя в систему с учетом требований настоящей инструкции.

При создании пароля пользователи обязаны придерживаться следующих правил:

пароль не может содержать имя учетной записи пользователя или какую-либо его часть;

пароль должен состоять не менее чем из 8 символов;

в пароле должны присутствовать символы трех категорий из числа следующих четырех:

прописные буквы английского алфавита от A до Z; строчные буквы английского алфавита от а до z; десятичные цифры (от 0 до 9);

символы, не принадлежащие алфавитно-цифровому набору (например !@#$%А&*()_+|~-=\'{}[]:";'<>?,./);

запрещается использовать в качестве пароля имя входа в систему, простые пароли (например, 111, zxcvbnm, abcd, !"N, asxz, fgrt, шлдщ, и т.п.), а также имена и даты рождения своей личности и своих родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе;

запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;

запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 12345678, йцукенгш и т.п.);

запрещается выбирать пароли, которые уже использовались ранее.

Правила ввода пароля

При вводе пароля пользователи обязаны придерживаться следующих правил:

ввод пароля должен осуществляться с учётом регистра, в котором пароль был задан;

при вводе пароля необходимо отключить возможность системы автоматически сохранять пароли;

во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.).

Правила хранения пароля

При хранении паролей пользователи обязаны придерживаться следующих правил:

запрещается хранить записи парольной фразы на бумажных носителях, внешних электронных носителях, в памяти устройств мобильной связи, в ноутбуках и прочих средствах и материалах, не предназначенных для обработки (хранения) конфиденциальной информации;

хранение паролей на бумажном носителе допускается в личном сейфе владельца пароля или сейфе руководителя подразделения в опечатанном владельцем пароля конверте или пенале;

запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем;

запрещается передача паролей пользователям при помощи почтовых сообщений либо иным другим открытым способом через Интернет;

пользователи обязаны своевременно сообщать администратору информационной безопасности об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.

Запрещается

Пользователям ресурсов ИСПДн запрещается:

использовать один и тот же пароль для доступа к ресурсам ИСПДн и другим ресурсам (например, доступ в интернет из дома, системам электронной коммерции и т. д.);

использовать один и тот же пароль для доступа к различным информационным системам, если это явно не разрешено соответствующими эксплуатационными регламентами или инструкциями;

сообщать пароль кому-либо, делопроизводителю, начальнику, администратору или обслуживающему персоналу без письменного

разрешения администратора информационной безопасности. Все пароли являются конфиденциальной информацией Госадмтехнадзора Московской области;

при вводе парольной информации для доступа к информации, размещенной в ИСПДн, запрещается использовать клавиатуры и другие средства ввода, подключенные к средствам вычислительной техники по беспроводным технологиям, в том числе по технологии Bluetooth или с использованием инфракрасных передатчиков;

ввод парольной информации в области непосредственного действия диктофонов, камер видеонаблюдения, средств телефонной связи в состоянии вызова, других устройств визуальной или акустической регистрации ввода парольных данных пользователем СВТ;

при вводе парольных данных запрещается произносить вслух набираемый текст или части парольной фразы, а также выполнять ввод парольных данных при наблюдении за процессом ввода посторонних лиц; сообщать пароль кому-либо по телефону; говорить о своем пароле рядом с посторонними; упоминать о содержимом пароля (например, "мой день рождения"); указывать свой пароль в анкетах или опросниках; сообщать свой пароль членам своей семьи; сообщать свой пароль сослуживцам перед уходом в отпуск.

Ответственность

Лица, использующие паролирование, обязаны:

четко знать и строго выполнять требования настоящей инструкции и других руководящих документов по паролированию;

своевременно сообщать администратору информационной безопасности об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.