Приложение N 6. Инструкция по организации парольной защиты информационных систем персональных данных в департаменте финансов Администрации города Салехарда. Приказ департамента финансов администрации г. Салехард Ямало-Ненецкого автономного округа от 11.01.2017 N 4 "Об утверждении инструкций по защите персональных данных в департаменте финансов Администрации города Салехарда"

Приложение N 6
к приказу
департамента финансов
администрации г. Салехард
от 11 января 2017 г. N 4

Инструкция
по организации парольной защиты информационных систем персональных данных в департаменте финансов Администрации города Салехарда

Термины и определения

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Администратор информационной безопасности - лицо, ответственное за защиту автоматизированных рабочих мест от несанкционированного доступа к информации.

Пользователь информационной системы персональных данных (ИСПДн) - лицо, назначаемое оператором для непосредственной обработки персональных данных в объеме служебной деятельности с использованием информационной системы персональных данных, а также результатов ее функционирования.

1. Общие положения

1.1. Настоящая Инструкция разработана в соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Постановлением Правительства РФ от 01 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также другими нормативными правовыми актами по защите информации, и регламентирует процессы генерации, смены и прекращения действия паролей (удаления учётных записей пользователей) в информационных системах персональных данных (далее - ИСПДн) департамента финансов Администрации города Салехарда (далее - Департамент финансов), а также контроль над действиями пользователей ИСПДн и обслуживающего персонала системы при работе с паролями.

1.2. Осуществление процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на администратора информационной безопасности.

2. Правила формирования паролей

2.1. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями ИСПДн самостоятельно с учётом следующих требований:

2.1.1. длина пароля должна быть не менее 6 символов;

2.1.2. в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

2.1.3. пароль не должен включать в себя имя пользователя, легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т.д.), последовательности символов и знаков (111, qwerty, абвгд и т.д.), общепринятые сокращения (ЭВМ, АРМ, ЛВС, USER и т.п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетаний букв и знаков, которые можно угадать, основываясь на информации о пользователе;

2.1.4. при смене пароля новое значение должно отличаться от предыдущего не менее чем в шести позициях;

2.1.5. допускается использовать пароли, составленные из первых букв слов запоминающихся высказываний в разном регистре, смешанные в произвольном порядке со специальными символами (например Кожзгсф7!).

2.2. В случае если формирование личных паролей пользователей ИСПДн осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на администратора информационной безопасности.

3. Ввод пароля

3.1. При вводе пароля пользователю ИСПДн необходимо исключить произнесение его вслух, возможность его просмотра посторонними лицами и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т.п.).

3.2. При неверном вводе пароля более 5 раз, учётная запись пользователя ИСПДн должна блокироваться не менее чем на 3 минуты и не более чем на 15 минут.

4. Порядок смены личных паролей

4.1. Смена паролей должна проводиться регулярно, не реже одного раза в 3 месяца, самостоятельно каждым пользователем ИСПДн.

4.2. В случае прекращения полномочий пользователя ИСПДн (увольнение, переход на другую работу и т.п.) должно производиться немедленное удаление его учётной записи сразу после окончания последнего сеанса работы данного пользователя ИСПДн с системой.

4.3. Срочная (внеплановая) полная смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на