Приложение N 1. Инструкция по парольной защите информации в автоматизированных системах Управления по охране окружающей среды и природным ресурсам Республики Адыгея. Приказ Управления по охране окружающей среды и природным ресурсам Республики Адыгея от 28.11.2016 N 283-к "Об утверждении инструкции по парольной защите информации в автоматизированных системах Управления по охране окружающей среды и природным ресурсам Республики Адыгея"

Приложение N 1
к приказу Управления по охране
окружающей среды и природным
ресурсам Республики Адыгея
от 28 ноября 2016 г. N 283-к

Инструкция
по парольной защите информации в автоматизированных системах Управления по охране окружающей среды и природным ресурсам Республики Адыгея

Обозначения и сокращения

ABC - антивирусные средства

АРМ - автоматизированное рабочее место

АС - автоматизированная система

АСО - активное сетевое оборудование

АСУ - автоматизированная система управления

БД - база данных

ВТСС - вспомогательные технические средства и системы

ЗИ - защита информации

ИБ - информационная безопасность

ИБП - источник бесперебойного питания

Инструкция - Инструкция по парольной защите информации в

автоматизированных системах

КЗ - контролируемая зона

КСЗИ - комплекс средств защиты информации

ЛВС - локальная вычислительная сеть

МЭ - межсетевой экран

НС Д - несанкционированный доступ

ОС - операционная система

Управление - Управление по охране окружающей среды и природным ресурсам Республики Адыгея

Начальник - начальник Управления по охране окружающей среды и природным ресурсам Республики Адыгея

ОИ - объект информатизации

ПАК - программно-аппаратный комплекс

ПМВ - программно-математическое воздействие

ПО - программное обеспечение

НПО - прикладное программное обеспечение

ПЭМИН - побочные электромагнитные излучения и наводки

ПЭВМ - персональная электронно-вычислительная машина

РД - руководящий документ

САЗ - система анализа защищенности

СВТ - средства вычислительной техники

СЗИ - средства защиты информации

СОВ - система обнаружения вторжений

СПО - специальное программное обеспечение

ТКУИ - технические каналы утечки информации

ТС - технические средства АС

1. Общие положения

1.1. Настоящая Инструкция разработана в соответствии со Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Председателя Гостехкомиссии России от 30.08.2002 N 282-дсп, Приказа ФСТЭК России от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" и других нормативных правовых актов и руководящих документов в области защиты информации.

1.2. Инструкция устанавливает требования и ответственность при организации парольной защиты информации, а также определяет порядок контроля за действиями пользователей и обслуживающего персонала системы при работе с паролями.

1.3. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения безопасности информации, и не исключает обязательного выполнения их требований.

1.4. Требования настоящей Инструкции являются обязательными для исполнения всеми работниками Управления, использующими в своей работе средства вычислительной техники.

1.5. Все работники Управления, использующие в своей работе средства вычислительной техники, должны быть ознакомлены с требования настоящей Инструкции под роспись.

1.6. На основании настоящей Инструкции в подведомственных Управлению учреждениях разрабатывается собственная инструкция об парольной защите информации с учетом специфики построения автоматизированных систем (АС).

1.7. При существенных изменениях, используемых в Управлении информационных технологий, настоящая Инструкция может быть изменена и дополнена.

2. Требования, предъявляемые к идентификаторам (кодам) и паролям (порядок формирования и обращения с ними)

2.1. Авторизация пользователей осуществляется путем ввода идентификатора и пароля.

2.2. При авторизации в АС, предназначенных для обработки информации ограниченного доступа, обязательным дополнительным условием является применение средств усиленной идентификации и аутентификации.

2.3. Требования к формированию паролей и обращению с ними.

2.3.1. В рамках парольной защиты пароли бывают первичными и постоянными. Первичный пароль формируется ответственным за безопасность информации и учитывается в журнале учета паролей (Приложение 1) и выдается пользователю в виде карточки паролей (Приложение 2).

2.3.2. Журнал учета паролей разрешается вести в электронном виде. Информация из журнала подлежит защите от несанкционированного доступа.

2.3.3. При создании нового пользователя в обязательном порядке необходимо включить опцию смены пароля при следующем входе пользователя в систему. При следующем входе в систему пользователь формирует постоянный пароль с учетом требований настоящей Инструкции.

2.3.4. В случае отсутствия технической возможности включения данной опции пароль генерируется пользователем самостоятельно с учетом требований настоящей Инструкции.

2.3.5. Постоянный пароль является личным паролем. Владельцы личных паролей обязаны обеспечивать их тайну.

2.3.6. Первичные и постоянные пароли в генерируются с учетом следующих требований:

- пароль должен знать только его владелец (при самостоятельном выборе пароля пользователем);

- пароль работник вводит собственноручно (при самостоятельном выборе пароля пользователем);

- содержать буквы верхнего и нижнего регистра одновременно;

- содержать цифры от 0 до 9;

- содержать символы, которые отличаются от букв и цифр (* # % _ @ и др.);

- не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков;

- максимальный срок действия пароля - 2 месяца;

- минимальный срок действия пароля - 2 недели;

- минимальная длина пароля - 8 символов;

- пароль не должен включать смысловую нагрузку (имена, фамилии, наименования организаций, улиц, городов и т.д.), общепринятые сокращения (userOl, password02 и т.п.) и последовательные сочетания клавиш клавиатуры (qwertyOl, Йцукен12);

- пароль невозможно использовать повторно до тех пор, пока не будет создано 4 других пароля;

- количество неудачных попыток входа в систему, приводящее к блокировке учетной записи пользователя должно быть не более 10;

- пользователь не имеет права сообщать свой личный пароль никому.

2.3.7. Требования к формированию паролей обеспечиваются техническими возможностями используемых операционных систем, средств защиты информации и информационных ресурсов (например, 1 С-Предприятие, СУФД Федерального казначейства и т.п.).

2.3.8. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в два месяца. Внеплановая смена пароля производится по требованию ответственного за парольную защиту, в случае его компрометации, а также по просьбе пользователя. Для внеплановой смены пароля по просьбе пользователь должен представить ответственному за безопасность информации служебную записку с указанием причины замены пароля.

2.3.9. Хранение работниками Управления значений своих паролей на бумажном носителе Запрещено.

2.3.10. Администраторские пароли (пароли системных администраторов, администраторов баз данных (информационных ресурсов), администраторов безопасности) должны храниться на бумажных носителях в опечатанных конвертах из плотной бумаги. При этом хранение должно быть только в личном, опечатанном владельцем пароля сейфе или надежно запираемом металлическом шкафу либо в пенале, опечатанном личной печатью (возможно вместе с персональными идентификаторами).

2.3.11. Разрешается хранение администраторских паролей у непосредственного руководителя владельца администраторского пароля при соблюдении вышеперечисленных требований.

2.3.12. Требования к порядку формирования и обращения с паролями и идентификаторами распространяются как на порядок работы в АС, так и на порядок работы с информационными ресурсами (например, 1 С-Предприятие, СУФД Федерального казначейства и т.п.), требующих процедуры авторизации.

2.3.13. При авторизации при работе с информационным ресурсом генерация паролей осуществляется администратором этих баз данных и ресурсов. Требования настоящей Инструкции при формировании паролей должны быть учтены при администрировании информационных ресурсов сторонней организацией (аутсорсинг). Администраторские пароли должны храниться согласно требованиям настоящей Инструкции у ответственного за безопасность информации.

2.4. Требования к идентификаторам и обращению с ними.

2.4.1. В Управления для идентификации применяются логин (имя пользователя) и средства усиленной идентификации и аутентификации (программные, программно-аппаратные), в том числе электронные персональные идентификаторы.

2.4.2. При использовании средств усиленной идентификации и аутентификации в АС, предназначенных для обработки информации ограниченного доступа, программное обеспечение идентификации и аутентификации и электронные персональные идентификаторы должны быть сертифицированы в системе сертификации ФСТЭК России.

2.4.3. Структура идентификаторов определяется возможностями и требованиями программного и (или) программно-аппаратного обеспечения электронных персональных идентификаторов и средств аутентификации применяемых операционных систем и приложений.

2.4.4. При использовании для генерации паролей программного и (или) программно-аппаратного обеспечения электронных персональных идентификаторов структура паролей определяется его возможностями.

2.4.5. При использовании электронные персональные идентификаторы для хранения паролей обязательно выполнение требований к первичным и постоянным паролям.

2.4.6. PIN-код электронного персонального идентификатора устанавливается (изменяется) его пользователем. Пользователь обязан сохранять действующий PIN - код используемого электронного персонального идентификатора в тайне.

2.4.7. PIN-код электронного персонального идентификатора должен соответствовать требованиям стойкости, рекомендованным эксплуатационной документацией на устройство.

2.4.8. Электронные персональные идентификаторы учитываются и выдаются работникам Управления по журналу учета (Приложение 3).

2.4.9. Пользователи электронных персональных идентификаторов обязаны обеспечивать их сохранность и исключать возможность неконтролируемого их использования.

2.5. Порядок смены паролей и идентификаторов при изменениях в организационно-штатной структуре Управления (кадровые перестановки, увольнение).

2.5.1. При прекращении трудового договора с работником Управления все созданные для этого работника учетные записи (пользовательское имя) во всех АС и информационных ресурсах подлежат блокированию не позднее, чем в день увольнения работника. Полное удаление учетных записей производится в течении 5 рабочих дней со дня увольнения работника. Основанием для блокирования и последующего удаления учетных записей служащего является заявка, представленная непосредственным руководителем увольняемого работника не позднее, чем за 3 рабочих дня до дня его увольнения.

2.5.2. При проведении организационно-штатных мероприятий (кадровые перестановки) непосредственный руководитель структурного подразделения обязан представить ответственному за безопасность информации заявку на изменение в правах доступа.

2.5.3. Формы заявок, сроки и порядок их отработки определяются установленными в Управлении правилами разрешительной системе допуска пользователей (обслуживающего персонала) к информационным ресурсам и автоматизированным системам, а также должностным инструкциям ответственным исполнителям.

2.6. Порядок действий при компрометации идентификаторов и паролей.

2.6.1. Под компрометацией понимается: утрата пароля и (или) идентификатора, разглашение пароля или PIN-кода идентификатора (явная компрометация), или иная ситуация, которая дает основание для предположения о нарушении конфиденциальности паролей, идентификаторов или PIN-кода идентификатора (неявная компрометация).

2.6.2. При выявлении факта утраты пароля, разглашения пароля, PIN-кода идентификатора, самого идентификатора работники Управления обязаны незамедлительно сообщить о данных фактах своему непосредственному руководителю и ответственному за парольную защиту.

2.6.3. В случае выявления факта компрометации идентификаторов и паролей пользователя ответственный за безопасность информации обязан немедленно заблокировать учетную запись данного пользователя.

2.6.4. При подозрении на компрометацию пользовательского пароля незамедлительно производится внеплановая смена пароля для этого пользователя.

2.6.5. При подозрении на компрометацию любого из администраторских паролей и идентификаторов и в случае выявления факта компрометации администраторских идентификаторов и паролей незамедлительно производится внеплановая смена всех администраторских паролей.

2.6.6. При явной компрометации проводится служебное расследование.

2.6.7. Расследование факта компрометации проводится комиссией, назначаемой приказом директора. В состав комиссии в обязательном порядке включается ответственный за безопасность информации, работник, обнаруживший факт компрометации, непосредственный руководитель работника, допустившего факт компрометации и заместитель директора. При необходимости в состав комиссии могут включаться другие работники Управления.

2.6.8. Результаты работы комиссии оформляются актом. Акт подлежит утверждению директором.

2.6.9. В процессе работы комиссии обязательными для установления являются:

дата и время компрометации;

ФИО, должность и подразделение работника, допустившего факт компрометации;

уровень критичности компрометации;

обстоятельства, способствовавшие совершению компрометации;

информационные ресурсы, затронутые компрометацией;

характер и размер реального и потенциального ущерба.

2.6.10. В течение 5 (пяти) рабочих дней с момента назначения начала работы комиссии у работника, допустившего факт компрометации пароля, запрашивается объяснительная записка (путем письменного запроса на имя непосредственного руководителя данного работника). Объяснительная записка должна быть представлена комиссии в течение 3 (трех) рабочих дней с момента поступления запроса. В случае отказа предоставить объяснительную записку, данный факт отражается в акте.

2.6.11. Уничтожение актов на уничтожение материалов расследования фактов компрометации осуществляется в соответствии с установленными требованиями по делопроизводству и номенклатурой дел.

3. Права и обязанности ответственного за безопасность информации и пользователей автоматизированных систем

3.1. Основные задачи ответственного за безопасность информации:

организация установки средств идентификации и аутентификации (если это обусловлено требованиями действующего законодательства и внутренними организационными документами Управления в области защиты информации);

организация парольной защиты во всех автоматизированных системах и информационных ресурсах Управления;

формирование паролей и PIN-кодов электронных персональных идентификаторов в соответствии с требованиями настоящей Инструкции;

учет и выдача первичных паролей, и электронных персональных идентификаторов и PIN-кодов к ним;

осуществление контроля за состоянием системы парольной защиты информации в Управлении.

3.2. Ответственный за безопасность информации имеет право:

вносить предложения по совершенствованию системы парольной защиты информации в Управлении;

принимать участие в планировании мероприятий по парольной защите информации в Управлении и планировании оснащения средствами идентификации и аутентификации;

осуществлять контроль состояния средств идентификации и аутентификации в структурных подразделениях Управления;

проводить служебные проверки по фактам компрометации;

оказывать помощь в решении проблем, возникающих при эксплуатации средств идентификации и аутентификации.

3.3. Обязанности в части парольной защиты информации должны быть отражены в должностной инструкции (регламенте) ответственного за безопасность информации.

3.4. Обязанности ответственного за безопасность информации могут быть возложены на следующие должностные лица Управления:

администраторы АС;

администраторы баз данных;

администраторы безопасности АС.

3.5. Ответственными за безопасность информации в Управлении не могут быть должностные лица сторонних организаций.

3.6. Количество ответственных за безопасность информации не может составлять менее двух человек.

3.7. Работникам Управления в своей работе запрещается:

Сообщать кому либо свой личный пароль и PIN-код к электронному персональному идентификатору;

передавать кому либо выданный электронный персональный идентификатор;

осуществлять вход в операционные системы автоматизированных систем и в информационные ресурсы Управления под чужими идентификаторами и паролями;

отключать средства идентификации и аутентификации.

3.8. В случае появления подозрений на факт компрометации пароля, а также в случае выявления инцидентов (фактов и т.п.), связанных со сбоями в работе средств идентификации и аутентификации, работники Управления обязаны немедленно проинформировать об этом ответственного за безопасность информации.

4. Обязанности и ответственность должностных лиц в рамках системы парольной защиты информации

4.1. Нарушение требований по защите информации (в том числе антивирусной защиты) влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.