Приложение 6. Инструкция по организации парольной защиты информационных систем в Министерстве здравоохранения Алтайского края. Приказ Министерства здравоохранения Алтайского края от 18.09.2018 N 288 "О мерах, направленных на обеспечение безопасности информации в Министерстве здравоохранения Алтайского края"

Приложение 6

Утверждена
приказом Министерства здравоохранения
Алтайского края
от 18.09.2018 N 288

Инструкция

по организации парольной защиты информационных систем в Министерстве здравоохранения Алтайского края

1. Общие положения

1.1. Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах (далее - ИС), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

1.2. Идентификация и аутентификация пользователей в ИС осуществляется посредством использования персональных учетных записей пользователей и периодически сменяемых буквенно-цифровых паролей, содержащих не менее шести символов.

1.3. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИС, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями возлагается на администратора безопасности ИС (далее - "Администратор").

1.4. Временный пароль, создаваемый при заведении учетной записи или смене забытого пароля, должен быть уникальным, передаваться способом, исключающим доступ к нему других лиц, и меняться пользователем при первом обращении к ИС. Пароли, предустановленные производителем, должны сменяться до начала эксплуатации.

2. Порядок генерации, смены и прекращения действия и резервирования паролей

2.1. Личные пароли должны создаваться пользователями самостоятельно.

2.2. В случае формирования личных паролей пользователей централизованно ответственность за правильность их формирования и распределения возлагается на Администратора.

2.3. Полная плановая смена паролей в ИС проводится не реже одного раза в 3 месяца.

2.4. Внеплановая смена личного пароля пользователя или удаление учетной записи в случае прекращения его полномочий (увольнение, переход на другую должность в ИС и т.п.) должна производиться Администратором немедленно после окончания последнего сеанса работы пользователя в ИС.

2.5. В ИС устанавливается ограничение на количество неуспешных попыток аутентификации (ввода логина и пароля) пользователя, равное 5, после чего учетная запись блокируется.

2.6. Разблокирование учетной записи осуществляется Администратором для учетных записей пользователя в ИС.

2.7. После 15 минут бездействия (неактивности) пользователя в ИС происходит автоматическое блокирование сеанса доступа в ИС.

3. Требования к формированию паролей

Пользователи при формировании паролей должны руководствоваться следующими требованиями:

3.1. Длина пароля должна быть не менее 8 символов.

3.2. В пароле должны обязательно присутствовать символы не менее трех категорий из следующих:

буквы в верхнем регистре;

буквы в нижнем регистре;

цифры;

специальные символы, не принадлежащие алфавитно-цифровому набору (например, ! , @, #, $, &, *, % и т.п.).

3.3. Пароль не должен включать в себя легко вычисляемые сочетания символов (например, "112", "911" и т.п.), а также общепринятые сокращения (например, "ЭВМ", "ЛВС", "USER" и т.п.), имя учетной записи пользователя или наименование его ИС, а также какую-либо его часть, не должен основываться на именах и датах рождения пользователя или его родственников, и т.д., которые можно угадать, основываясь на информации о пользователе.

3.4. Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов (например, "1111111", "wwwww" и т.п.), комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, "1234567", "qwerty" и т.п.).

3.5. При смене пароля новое значение должно отличаться от предыдущего не менее чем в 3 позициях.

4. Правила ввода паролей

Пользователи во время процедуры аутентификации (ввода логина и пароля) в ИС должны руководствоваться следующими правилами:

4.1. Ввод пароля должен осуществляться с учётом регистра, в котором пароль был задан.

4.2. Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и пр.).

5. Обязанности

5.1. Пользователи ИС обязаны:

четко знать и строго выполнять требования настоящей инструкции;

своевременно сообщать Администратору об утере, компрометации и несанкционированном изменении сроков действия паролей в ИС;

ознакомиться под роспись с перечисленными в настоящей инструкции требованиями.

5.2. Пользователи должны быть предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.