Приложение 3. Регламент использования аутентификационной информации региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края. Приказ департамента информатизации и связи Краснодарского края от 02.12.2019 N 191 "Об утверждении регламентов региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края"

Приложение 3
к приказу департамента
информатизации и связи
Краснодарского края
от 02.12.2019 г. N 191

Регламент
использования аутентификационной информации региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края

1. Термины и сокращения

Администратор РМС ОГВ	- Уполномоченный орган исполнительной власти Краснодарского края, осуществляющий распорядительные функции по формированию и использованию РМС ОГВ. обеспечивающий эксплуатацию системы;
ВМ	- Виртуальная машина (сервер);
Внешние пользователи РМС ОГВ	- Иные заинтересованные органы государственной власти, органы местного самоуправления, государственные и иные организации, использующие РМС ОГВ в пределах своей компетенции;
Внутренние пользователи РМС ОГВ	- Исполнительные органы государственной власти Краснодарского края, структурные подразделения администрации Краснодарского края, государственные учреждения, функции и полномочия учредителей которых осуществляют ИОГВ Краснодарского края;
ИОГВ Краснодарского края	- Исполнительные органы государственной власти Краснодарского края;
ИС	- Информационная система;
Оператор информационной системы	- Внутренний пользователь РМС ОГВ, осуществляющий деятельность по эксплуатации информационной системы, в том числе но обработке информации, содержащейся в ее базах данных (1) ;
Разработчик ИС	- Юридическое лицо, осуществляющее на договорной основе (или иным установленным законом способом) функции по разработке и (или) сопровождению ГИС Краснодарского края;
РМС ОГВ	- Региональная мультисервисная сеть исполнительных органов государственной власти Краснодарского края;
Служба сопровождения РМС ОГВ	- Организация, на договорной основе осуществляющая функции технического и технологического обеспечения работоспособности и эксплуатации РМС ОГВ;
СПО	- Системное программное обеспечение;
Участники РМС ОГВ	- Субъекты информационного обмена и органы, обеспечивающие данный обмен, взаимодействующие в рамках РМС ОГВ. К Участникам РМС ОГВ относятся: Администратор РМС ОГВ, Служба сопровождения РМС ОГВ и Пользователи РМС ОГВ;
ФСТЭК России	- Федеральная служба по техническому и экспортному контролю;
ЦОД РМС ОГВ	- Центр обработки данных региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края.

2. Общие положения

2.1. Настоящий Регламент определяет требования к комплекс} мер по использованию аутентификационной информации при реализации доступа Участников РМС ОГВ к средствам обработки информации РМС ОГВ. (информационным системам, автоматизированным рабочим местам пользователей (далее - АРМ), серверам (в том числе виртуальным машинам), активному сетевому оборудованию и средствам защиты информации).

2.2. Под аутентификационной информацией понимается информация, используемая пользователями и администраторами информационных ресурсов (систем) и средств обработки информации для доступа к ним (имя пользователя, пароль, средства дополнительной аутентификации).

2.3. Настоящий Регламент разработан в соответствии с:

Постановлением главы администрации (губернатора) Краснодарского края от 26 августа 2008 г. N 840 "О региональной мультисервисной сети исполнительных органов государственной власти Краснодарского края";

Приказом ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

Приказом ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

Приказом ФСТЭК России от 25 февраля 2017 г. N 239 "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".

2.4. Настоящим Регламентом в своей работе должны руководствоваться:

Администратор РМС ОГВ;

Служба сопровождения РМС ОГВ;

Пользователи РМС ОГВ.

2.5. С целью обеспечения выполнения положений настоящего Регламента, в ИОГВ Краснодарского края назначаются администраторы средств обработки информации (далее - Администратор).

3. Порядок формирования и использования аутентификационной информации

3.1. Для обеспечения возможности однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами для каждого пользователя и (или) администратора средства обработки информации формируется имя пользователя.

3.2. Учетные записи должны быть (при наличии технической возможности) уникальные и персонализированные.

3.3. При использовании дополнительных средств аутентификации (аппаратных идентификаторов), такие средства подлежат обязательном) учету (2) (форма журнала учёта приведена в Приложении к Регламенту). Учёт аппаратных идентификаторов обеспечивается Администратором.

3.4. В случае привлечения третьих лиц для выполнения работ по установке, настройке и тестированию средств обработки информации, им предоставляются временные учётные записи с ограниченным сроком действия (при наличии технической возможности).

3.5. При создании учётной записи должен быть задан тип учётной записи (при наличии технической возможности). Под типами учётных записей понимается: учётная запись пользователя, Администратора, временная учётная запись, системная учётная запись, и пр.

3.6. Использование гостевых учётных записей при эксплуатации средств обработки информации запрещается (за исключением общедоступных ресурсов, для которых такой способ доступа регламентирован эксплуатационной документацией).

3.7. Локальная учётная запись Администратора предназначена только для служебного использования администратором при его настройке и не может быть использована для повседневной работы.

3.8. Удаление учётных записей пользователей и Администраторов запрещается (допускается только их блокирование).

3.9. Пользователи и Администраторы обязаны хранить в секрете персональные пароли доступа и не передавать их другим лицам.

3.10. В случае возникновения нештатных ситуаций, форс-мажорных обстоятельств, а также технологической необходимости использования имён и паролей пользователей (в их отсутствие) допускается изменение паролей Администратором. В подобных случаях, пользователи, чьи пароли были изменены (скомпрометированы), обязаны незамедлительно задать их новые значения в соответствии с требованиями настоящего Регламента.

3.11. Хранение пользователями аутентификационной информации допускается только в личном сейфе (запираемом шкафу, ящике), либо в сейфе (запираемом шкафу, ящике) Администратора. При этом бумажный носитель должен быть упакован в отдельный опечатанный конверт.

3.12. При эксплуатации средств обработки информации использование аутентификационной информации, заданной производителем "по умолчанию" запрещается.

3.13. После получения доступа к средству обработки информации, пользователь (при первом входе) должен сменить пароль доступа (в случае наличия технической возможности), на пароль, удовлетворяющий требованиям настоящего Регламента

3.14. При вводе аутентификационной информации (пароля) должно обеспечиваться исключение отображения вводимой парольной информации (например, осуществляется замена вводимых символов условными знаками или иными знаками). В случае отсутствия технической возможности реализации данного требования пользователь самостоятельно создает условия защиты вводимой аутентификационной информации.

3.15. Передача аутентификационной информации пользователям при помощи почтовых сообщений либо по иным открытым каналам связи запрещается.

3.16. Передача аутентификационной информации Администраторов любым третьим лицам запрещается.

3.17. В случае компрометации аутентификационных данных (пароля) пользователи должны незамедлительно сообщить об этом Администратор}.

3.18. В случае компрометации аутентификационных данных (пароля) Администратора смене подлежат аутентификационные данные всех пользователей.

3.19. Предусматривается периодическая плановая (в соответствии с установленным сроком) и внеплановая смена аутентификационных данных (пароля).

3.20. Внеплановая немедленная смена аутентификационных данных (пароля) обязательна в случае его компрометации. Также, внеплановая смена аутентификационных данных (пароля) и (или) блокирование учётной записи пользователя, производится в случае прекращения его полномочий, непосредственно после окончания последнего сеанса работы данного пользователя.

3.21. Должностным лицам запрещается разглашать пароли, ставшие известными им в ходе служебной деятельности по обеспечению функционирования средств обработки информации.

4. Требования к качеству аутентификационной информации и мер по обеспечению её безопасности

4.1. К аутентификационной информации пользователей и Администраторов средства обработки информации, в общем случае (если иные требования не установлены нормативными документами Российской Федерации в области защиты информации и (или) при наличии технической возможности), определены следующие требования:

N п/п	Параметр качества пароля	Администратор	Пользователь
1.	Минимальная длина пароля в символах	12	8
2.	Максимальная длина пароля в символах	не ограничена	не ограничена
3.	Содержание в пароле букв верхнего и нижнего регистра	наличие	наличие
4.	Содержание в пароле специальных символов (@, #, $,&, * и т.п.) и цифр (при наличии технической возможности)	наличие	наличие
5.	Содержание в пароле предугадываемых комбинаций (3) или "словарных паролей"	запрещено	запрещено
б.	Содержание в пароле общепринятых сокращений (4)	запрещено	запрещено
7.	Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки	3
8.	Минимальный период блокировки доступа к средству обработки информации и (или) учётной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации, секунд	30	15
9.	Минимальный период блокировки сеанса доступа к средству обработки информации после времени бездействия (неактивности) пользователя, минут (5)	5	15
10.	Блокировка учётной записи после периода неиспользования, дней	60	90
11.	Минимальное отличие нового пароля от предыдущего (в символах)	4	3
12.	Количество уникальных паролей, устанавливаемых подряд (в течение установленного срока смены паролей)	не менее 5	не менее 3
13.	Максимальный срок действия пароля	60 дней	90 дней

5. Обязанности Участников РМС ОГВ

5.1. Администратор РМС ОГВ обязан:

довести положения настоящего Регламента до Службы сопровождения РМС ОГВ, Участников РМС ОГВ;

организовывать процессы планирования и реализации контрольных мероприятий по проверке степени выполнения положений настоящего Регламента Участниками РМС ОГВ;

5.2. ИОГВ Краснодарского края обязаны:

назначить ответственных лиц за исполнение положений настоящего Регламента (Администраторов);

ознакомить Пользователей ИС (в рамках своих компетенций) с положениями настоящего Регламента.

5.3. Администраторы обязаны:

руководствоваться настоящим Регламентом при создании учётных записей пользователей;

обеспечивать управление жизненным циклом учётных записей пользователей в соответствии с Требованиями к качеству аутентификационной информации и мерами по обеспечению её безопасности, установленными положениями настоящего Регламента;

своевременно блокировать/разблокировать учётные записи пользователей; осуществлять внеплановую смену паролей в случае запросов пользователей;

вести учёт аппаратных идентификаторов доступа.

6. Ответственность за нарушение требований настоящего Регламента

6.1. Ответственность за нарушение требований настоящего Регламента возлагается на всех Участников РМС ОГВ.

6.2. Лица, виновные в нарушении положений настоящего Регламента могут быть привлечены к ответственности согласно действующему законодательству Российской Федерации.

____________________

(1) В случаях, если иное не установлено федеральным законодательством. оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы

(2) Учёт может осуществляться посредством ведения электронного журнала

(3) Например: личных имён, фамилий, кличек домашних животных, N телефонов, дат рождения, географических названий, именований АРМ и т.п.

(4) Например: Admin. Administrator. ViPNet. Cisco. User. UserID и др.

(5) Если иное не регламентировано эксплуатационной документацией

Начальник управления связи департамента информатизации и связи Краснодарского края

М.Ю. Бугрий