Приложение N 2. Приказ Министерства образования Новосибирской области от 12.12.2018 N 3223 "О внесении изменений в приказ министерства образования Новосибирской области от 07.05.2018 N 1097 и признании утратившими силу отдельных приказов министерства образования, науки и инновационной политики Новосибирской области"

Приложение N 2
к приказу Минобразования
Новосибирской области
от 12 декабря 2018 г. N 3223

"Инструкция
по организации парольной защиты в информационных системах персональных данных министерства образования Новосибирской области (далее - Инструкция)
(утв. приказом Минобразования Новосибирской области от 7 мая 2018 г. N 1097)

I. Общие положения

1. Настоящая Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных министерства образования Новосибирской области (далее - ИСПДн Минобразования Новосибирской области), а также контроль действий пользователей и обслуживающего персонала системы при работе с паролями.

II. Требования по организации парольной защиты

2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в ИСПДн и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на Администратора ИСПДн и Администратора информационной безопасности (далее - ИБ), содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.

3. Личные пароли должны генерироваться и распределяться централизованно с учетом следующих требований:

длина пароля должна быть не менее 8 символов;

в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);

при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;

личный пароль пользователь не имеет права сообщать никому.

4. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

5. В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на Администратора ИСПДн и Администратора ИБ. Для генерации "стойких" значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самих уполномоченных сотрудников министерства образования Новосибирской области (далее - министерство).

6. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу внутри министерства и т.п.) должна производиться Администратором ИСПДн немедленно после окончания последнего сеанса работы данного пользователя с системой.

7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри Министерства и другие обстоятельства) Администратора ИСПДн и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой ИСПДн министерства.

8. В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с пунктом 6 или пунктом 7 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.

III. Ответственность при организации парольной защиты

9. Ответственность за организацию парольной защиты ИСПДн и установление порядка ее проведения, в соответствии с требованиями настоящей Инструкции, возлагается на Администратора ИСПДн.

10. Ответственность за поддержание установленного порядка и соблюдение требований настоящей Инструкции возлагается на ответственного за организацию обработки ПДн в ИСПДн и пользователей (операторов) ИСПДн.

11. Периодический контроль за выполнением всех требований настоящей Инструкции, и состоянием антивирусной защиты осуществляется Администратором ИБ.".

Лист ознакомления
____________________

ГАРАНТ:

Нумерация граф приводится в соответствии с источником

N п/п	Фамилия, имя, отчество	Дата	Подпись
1	2	3	5