Приложение N 1. Инструкция по парольной защите информации в автоматизированных системах Управления по охране окружающей среды и природным ресурсам Республики Адыгея. Приказ Управления по охране окружающей среды и природным ресурсам Республики Адыгея от 28.11.2016 N 283-к "Об утверждении инструкции по парольной защите информации в автоматизированных системах Управления по охране окружающей среды и природным ресурсам Республики Адыгея"

Приложение N 1
к приказу Управления по охране
окружающей среды и природным
ресурсам Республики Адыгея
от 28 ноября 2016 г. N 283-к

Инструкция
по парольной защите информации в автоматизированных системах Управления по охране окружающей среды и природным ресурсам Республики Адыгея

Обозначения и сокращения

ABC - антивирусные средства

АРМ - автоматизированное рабочее место

АС - автоматизированная система

АСО - активное сетевое оборудование

АСУ - автоматизированная система управления

БД - база данных

ВТСС - вспомогательные технические средства и системы

ЗИ - защита информации

ИБ - информационная безопасность

ИБП - источник бесперебойного питания

Инструкция - Инструкция по парольной защите информации в

автоматизированных системах

КЗ - контролируемая зона

КСЗИ - комплекс средств защиты информации

ЛВС - локальная вычислительная сеть

МЭ - межсетевой экран

НС Д - несанкционированный доступ

ОС - операционная система

Управление - Управление по охране окружающей среды и природным ресурсам Республики Адыгея

Начальник - начальник Управления по охране окружающей среды и природным ресурсам Республики Адыгея

ОИ - объект информатизации

ПАК - программно-аппаратный комплекс

ПМВ - программно-математическое воздействие

ПО - программное обеспечение

НПО - прикладное программное обеспечение

ПЭМИН - побочные электромагнитные излучения и наводки

ПЭВМ - персональная электронно-вычислительная машина

РД - руководящий документ

САЗ - система анализа защищенности

СВТ - средства вычислительной техники

СЗИ - средства защиты информации

СОВ - система обнаружения вторжений

СПО - специальное программное обеспечение

ТКУИ - технические каналы утечки информации

ТС - технические средства АС

1. Общие положения

1.1. Настоящая Инструкция разработана в соответствии со Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Председателя Гостехкомиссии России от 30.08.2002 N 282-дсп, Приказа ФСТЭК России от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" и других нормативных правовых актов и руководящих документов в области защиты информации.

1.2. Инструкция устанавливает требования и ответственность при организации парольной защиты информации, а также определяет порядок контроля за действиями пользователей и обслуживающего персонала системы при работе с паролями.

1.3. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения безопасности информации, и не исключает обязательного выполнения их требований.

1.4. Требования настоящей Инструкции являются обязательными для исполнения всеми работниками Управления, использующими в своей работе средства вычислительной техники.

1.5. Все работники Управления, использующие в своей работе средства вычислительной техники, должны быть ознакомлены с требования настоящей Инструкции под роспись.

1.6. На основании настоящей Инструкции в подведомственных Управлению учреждениях разрабатывается собственная инструкция об парольной защите информации с учетом специфики построения автоматизированных систем (АС).

1.7. При существенных изменениях, используемых в Управлении информационных технологий, настоящая Инструкция может быть изменена и дополнена.

2. Требования, предъявляемые к идентификаторам (кодам) и паролям (порядок формирования и обращения с ними)

2.1. Авторизация пользователей осуществляется путем ввода идентификатора и пароля.

2.2. При авторизации в АС, предназначенных для обработки информации ограниченного доступа, обязательным дополнительным условием является применение средств усиленной идентификации и аутентификации.

2.3. Требования к формированию паролей и обращению с ними.

2.3.1. В рамках парольной защиты пароли бывают первичными и постоянными. Первичный пароль формируется ответственным за безопасность информации и учитывается в журнале учета паролей (Приложение 1) и выдается пользователю в виде карточки паролей (Приложение 2).

2.3.2. Журнал учета паролей разрешается вести в электронном виде. Информация из журнала подлежит защите от несанкционированного доступа.

2.3.3. При создании нового пользователя в обязательном порядке необходимо включить опцию смены пароля при следующем входе пользователя в систему. При следующем входе в систему пользователь формирует постоянный пароль с учетом требований настоящей Инструкции.

2.3.4. В случае отсутствия технической возможности включения данной опции пароль генерируется пользователем самостоятельно с учетом требований настоящей Инструкции.

2.3.5. Постоянный пароль является личным паролем. Владельцы личных паролей обязаны обеспечивать их тайну.

2.3.6. Первичные и постоянные пароли в генерируются с учетом следующих требований:

- пароль должен знать только его владелец (при самостоятельном выборе пароля пользователем);

- пароль работник вводит собственноручно (при самостоятельном выборе пароля пользователем);

- содержать буквы верхнего и нижнего регистра одновременно;

- содержать цифры от 0 до 9;

- содержать символы, которые отличаются от букв и цифр (* # % _ @ и др.);

- не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков;

- максимальный срок действия пароля - 2 месяца;

- минимальный срок действия пароля - 2 недели;

- минимальная длина пароля - 8 символов;

- пароль не должен включать смысловую нагрузку (имена, фамилии, наименования организаций, улиц, городов и т.д.), общепринятые сокращения (userOl, password02 и т.п.) и последовательные сочетания клавиш клавиатуры (qwertyOl, Йцукен12);

- пароль невозможно использовать повторно до тех пор, пока не будет создано 4 других пароля;

- количество неудачных попыток входа в систему, приводящее к блокировке учетной записи пользователя должно быть не более 10;

- пользователь не имеет права сообщать свой личный пароль никому.

2.3.7. Требования к формированию паролей обеспечиваются техническими возможностями используемых операционных систем, средств защиты информации и информационных ресурсов (например, 1 С-Предприятие, СУФД Федерального казначейства и т.п.).

2.3.8. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в два месяца. Внеплановая смена пароля производится по требованию ответственного за парольную защиту, в случае его компрометации, а также по просьбе пользователя. Для внеплановой смены пароля по просьбе пользователь должен представить ответственному за безопасность информации служебную записку с указанием причины замены пароля.

2.3.9. Хранение работниками Управления значений своих паролей на бумажном носителе Запрещено.

2.3.10. Администраторские пароли (пароли системных администраторов, администраторов баз данных (информационных ресурсов), администраторов безопасности) должны храниться на бумажных носителях в опечатанных конвертах из плотной бумаги. При этом хранение должно быть только в личном, опечатанном владельцем пароля сейфе или надежно запираемом металлическом шкафу либо в пенале, опечатанном личной печатью (возможно вместе с персональными идентификаторами).

2.3.11. Разрешается хранение администраторских паролей у непосредственного руководителя владельца администраторского пароля при соблюдении вышеперечисленных требований.

2.3.12. Требования к порядку формирования и обращения с паролями и идентификаторами распространяются как на порядок работы в АС, так и на порядок работы с информационными ресурсами (например, 1 С-Предприятие, СУФД Федерального казначейства и т.п.), требующих процедуры авторизации.

2.3.13. При авторизации при работе с информационным ресурсом генерация паролей осуществляется администратором этих баз данных и ресурсов. Требования настоящей Инструкции при формировании паролей должны быть учтены при администрировании информационных ресурсов сторонней организацией (аутсорсинг). Администраторские пароли должны храниться согласно требованиям настоящей Инструкции у ответственного за безопасность информации.

2.4. Требования к идентификаторам и обращению с ними.

2.4.1. В Управления для идентификации применяются логин (имя пользователя) и средства усиленной идентификации и аутентификации (программные, программно-аппаратные), в том числе электронные персональные идентификаторы.

2.4.2. При использовании средств усиленной идентификации и аутентификации в АС, предназначенных для обработки информации ограниченного доступа, программное обеспечение идентификации и аутентификации и электронные персональные идентификаторы должны быть сертифицированы в системе сертификации ФСТЭК России.

2.4.3. Структура идентификаторов определяется возможностями и требованиями программного и (или) программно-аппаратного обеспечения электронных персональных идентификаторов и средств аутентификации применяемых операционных систем и приложений.

2.4.4. При использовании для генерации паролей программного и (или) программно-аппаратного обеспечения электронных персональных идентификаторов структура паролей определяется его возможностями.

2.4.5. При использовании электронные персональные идентификаторы для хранения паролей обязательно выполнение требований к первичным и постоянным паролям.

2.4.6. PIN-код электронного персонального идентификатора устанавливается (изменяется) его пользователем. Пользователь обязан сохранять действующий PIN - код используемого электронного персонального идентификатора в тайне.

2.4.7. PIN-код электронного персонального идентификатора должен соответствовать требованиям стойкости, рекомендованным эксплуатационной документацией на устройство.

2.4.8. Электронные персональные идентификаторы учитываются и выдаются работникам Управления по журналу учета (Приложение 3).

2.4.9. Пользователи электронных персональных идентификаторов обязаны обеспечивать их сохранность и исключать возможность неконтролируемого их использования.

2.5. Порядок смены паролей и идентификаторов при изменениях в организационно-штатной структуре Управления (кадровые перестановки, увольнение).

2.5.1. При прекращении трудового договора с работником Управления все созданные для этого работника учетные записи (пользовательское имя) во всех АС и информационных ресурсах подлежат блокированию не позднее, чем в день увольнения работника. Полное удаление учетных записей производится в течении 5 рабочих дней со дня увольнения работника. Основанием для блокирования и последующего удаления учетных записей служащего является заявка, представленная непосредственным руководителем увольняемого работника не позднее, чем за 3 рабочих дня до дня его увольнения.

2.5.2. При проведении организационно-штатных мероприятий (кадровые перестановки) непосредственный руководитель структурного подразделения обязан представить ответственному за безопасность информации заявку на изменение в правах доступа.

2.5.3. Формы заявок, сроки и порядок их отработки определяются установленными в Управлении правилами разрешительной системе допуска пользователей (обслуживающего персонала) к информационным ресурсам и автоматизированным системам, а также должностным инструкциям ответственным исполнителям.

2.6. Порядок действий при компрометации идентификаторов и паролей.

2.6.1. Под компрометацией понимается: утрата пароля и (или) идентификатора, разглашение пароля или PIN-кода идентификатора (явная компрометация), или иная ситуация, которая дает основание для предположения о нарушении конфиденциальности паролей, идентификаторов или PIN-кода идентификатора (неявная компрометация).

2.6.2. При выявлении факта утраты пароля, разглашения пароля, PIN-кода идентификатора, самого идентификатора работники Управления обязаны незамедлительно сообщить о данных фактах своему непосредственному руководителю и ответственному за парольную защиту.

2.6.3. В случае выявления факта компрометации идентификаторов и паролей пользователя отве