Приложение N 6. Инструкция по организации парольной защиты информационных систем персональных данных в департаменте финансов Администрации города Салехарда. Приказ департамента финансов администрации г. Салехард Ямало-Ненецкого автономного округа от 11.01.2017 N 4 "Об утверждении инструкций по защите персональных данных в департаменте финансов Администрации города Салехарда"

Приложение N 6
к приказу
департамента финансов
администрации г. Салехард
от 11 января 2017 г. N 4

Инструкция
по организации парольной защиты информационных систем персональных данных в департаменте финансов Администрации города Салехарда

Термины и определения

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Администратор информационной безопасности - лицо, ответственное за защиту автоматизированных рабочих мест от несанкционированного доступа к информации.

Пользователь информационной системы персональных данных (ИСПДн) - лицо, назначаемое оператором для непосредственной обработки персональных данных в объеме служебной деятельности с использованием информационной системы персональных данных, а также результатов ее функционирования.

1. Общие положения

1.1. Настоящая Инструкция разработана в соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Постановлением Правительства РФ от 01 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также другими нормативными правовыми актами по защите информации, и регламентирует процессы генерации, смены и прекращения действия паролей (удаления учётных записей пользователей) в информационных системах персональных данных (далее - ИСПДн) департамента финансов Администрации города Салехарда (далее - Департамент финансов), а также контроль над действиями пользователей ИСПДн и обслуживающего персонала системы при работе с паролями.

1.2. Осуществление процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на администратора информационной безопасности.

2. Правила формирования паролей

2.1. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями ИСПДн самостоятельно с учётом следующих требований:

2.1.1. длина пароля должна быть не менее 6 символов;

2.1.2. в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

2.1.3. пароль не должен включать в себя имя пользователя, легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т.д.), последовательности символов и знаков (111, qwerty, абвгд и т.д.), общепринятые сокращения (ЭВМ, АРМ, ЛВС, USER и т.п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетаний букв и знаков, которые можно угадать, основываясь на информации о пользователе;

2.1.4. при смене пароля новое значение должно отличаться от предыдущего не менее чем в шести позициях;

2.1.5. допускается использовать пароли, составленные из первых букв слов запоминающихся высказываний в разном регистре, смешанные в произвольном порядке со специальными символами (например Кожзгсф7!).

2.2. В случае если формирование личных паролей пользователей ИСПДн осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на администратора информационной безопасности.

3. Ввод пароля

3.1. При вводе пароля пользователю ИСПДн необходимо исключить произнесение его вслух, возможность его просмотра посторонними лицами и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т.п.).

3.2. При неверном вводе пароля более 5 раз, учётная запись пользователя ИСПДн должна блокироваться не менее чем на 3 минуты и не более чем на 15 минут.

4. Порядок смены личных паролей

4.1. Смена паролей должна проводиться регулярно, не реже одного раза в 3 месяца, самостоятельно каждым пользователем ИСПДн.

4.2. В случае прекращения полномочий пользователя ИСПДн (увольнение, переход на другую работу и т.п.) должно производиться немедленное удаление его учётной записи сразу после окончания последнего сеанса работы данного пользователя ИСПДн с системой.

4.3. Срочная (внеплановая) полная смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) администратора информационной безопасности и других работников, которым по роду работы были предоставлены полномочия по управлению системой парольной защиты.

4.4. Временный пароль, заданный администратором информационной безопасности при регистрации нового пользователя ИСПДн, должен действовать в течение ограниченного срока времени. Пользователь ИСПДн должен изменить временный пароль при первом входе в систему.

5. Хранение пароля

5.1. Запрещается записывать пароли на бумаге, в файле, электронной записной книжке, мобильном телефоне и любых других предметах и носителях информации.

5.2. Запрещается сообщать свой пароль полностью или частично другим пользователям ИСПДн, запрещается спрашивать или подсматривать пароль других пользователей ИСПДн.

5.3. Запрещается регистрировать других пользователей в ИСПДн со своим личным паролем, запрещается входить в ИСПДн под учётной записью и паролем другого пользователя ИСПДн.

6. Действия в случае утери и компрометации пароля

6.1. В случае утери или компрометации (разглашения, утраты) или подозрения в компрометации пароля пользователя ИСПДн должна быть немедленно проведена внеплановая процедура смены пароля.

7. Ответственность

7.1. Каждый пользователь ИСПДн несет персональную ответственность за соблюдение требований настоящей Инструкции и за все действия, совершенные от имени его учётной записи в ИСПДн, если с его стороны не было предпринято необходимых действий для предотвращения компрометации пароля его учётной записи.

7.2. Ответственность за контроль проведения мероприятий по организации парольной защиты возлагается на администратора информационной безопасности.

7.3. За разглашение персональных данных и нарушение порядка работы со средствами ИСПДн, обрабатывающими персональные данные, работники могут быть привлечены к гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.