Инструкция по организации парольной защиты.

• Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе ОРГАНИЗАЦИИ (АС ОРГАНИЗАЦИИ), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС ОРГАНИЗАЦИИ и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на сотрудников службы обеспечения безопасности информации (СОБИ)

• администраторов средств защиты, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.

2. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:

• длина пароля должна быть не менее 8 символов;

• в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

• пароль не должен включать в себя легко вычисляемые сочетания символов.

• при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;

• личный пароль пользователь не имеет права сообщать никому.

• Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

3. В случае, если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников СОБИ. Для генерации «стойких» значений паролей могут применяться специальные программные средства.

• Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самих уполномоченных сотрудников СОБИ, а также ответственных за информационную безопасность в подразделениях с паролями других сотрудников подразделений ОРГАНИЗАЦИИ (исполнителей).

4. При наличии в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п. технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие, такие сотрудники обязаны сразу же после смены своих паролей их новые значения в запечатанном конверте или опечатанном пенале передавать на хранение ответственному за информационную безопасность подразделения

• Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе.

5. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в месяц.

6. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение)

7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри территориального органа ОРГАНИЗАЦИИ и другие обстоятельства) администраторов средств защиты и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой подсистем АС.

8. В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п.6 или п.7 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.

9. Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за информационную безопасность или руководителя подразделения в опечатанном личной печатью пенале (возможно вместе с персональными ключевыми дискетами и идентификатором Touch Memory).

10. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за информационную безопасность в подразделениях (руководителей подразделений), периодический контроль – возлагается на сотрудников СОБИ – администраторов средств парольной защиты.

 

4 вариант