Инструкция по организации парольной защиты в информационных системах персональных данных

по организации парольной защиты в информационных системах персональных данных

1.1. Настоящая инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаление учетных записей пользователей) в информационной системе персональных (далее – ИСПДн) в _______________________ (далее – ___________________).

1.2. Настоящая инструкция разработана в соответствии с руководящими и нормативными документами регуляторов Российской Федерации в области защиты персональных данных.

1.3. Пользователем ИСПДн (далее – Пользователь) является сотрудник ___________________, участвующий в рамках выполнения своих функциональных обязанностей в процессах автоматизированной обработки персональных данных (далее – ПДн) и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты информации ИСПДн (далее – СЗИ).

1.4. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в ИСПДн и контроль над действиями Пользователей в ИСПДн осуществляет ответственный за обеспечение безопасности персональных данных в ___________________ (далее – Ответственный).

1.5. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей на автоматизированных рабочих местах (далее – АРМ) Пользователей осуществляет администратор ИСПДн в ___________________ (далее –Администратор).

2.1. Личные пароли должны создаваться Пользователями самостоятельно.

2.2. В случае формирования личных паролей Пользователей централизованно, ответственность за правильность их формирования и распределения возлагается на Ответственного и Администратора в ИСПДн и на АРМ Пользователей соответственно.

2.3. Полная плановая смена паролей в ИСПДн проводится не реже одного раза в 3 месяца.

2.4. Внеплановая смена личного пароля Пользователя или удаление учетной записи в случае прекращения его полномочий (увольнение, переход на другую должность в ИСПДн и т.п.) должна производиться Администратором и Ответственным немедленно после окончания последнего сеанса работы Пользователя в АРМ и в ИСПДн соответственно.

2.5. В ИСПДн устанавливается ограничение на количество неуспешных попыток аутентификации (ввода логина и пароля) Пользователя, равное 7, после чего учетная запись блокируется.

2.6. Разблокирование учетной записи осуществляется Администратором и Ответственный для учетных записей Пользователя для АРМ и для ИСПДн соответственно.

2.7. После 15 минут бездействия (неактивности) Пользователя в АРМ или ИСПДн происходит автоматическое блокирование сеанса доступа в АРМ и ИСПДн соответственно.

Пользователи при формировании паролей должны руководствоваться следующими требованиями:

3.1. Длина пароля должна быть не менее 8 символов.

3.2. В пароле должны обязательно присутствовать символы не менее 3-х категорий из следующих:

• буквы в верхнем регистре;
• буквы в и нижнем регистре;
• цифры;
• специальные символы, не принадлежащие алфавитно-цифровому набору (например. @, #, $, &, *, % и т.п.).

3.3. Пароль не должен включать в себя легко вычисляемые сочетания символов (например, «112», «911» и т.п.), а также общепринятые сокращения (например, «ЭВМ», «ЛВС», «USER» и т.п.).

3.4. Пароль не должен содержать имя учетной записи Пользователя или наименование его АРМ, а также какую-либо его часть.

3.5. Пароль не должен основываться на именах и датах рождения Пользователя или его родственников, кличек домашних животных, номеров автомобилей, телефонов и т.д. которые можно угадать, основываясь на информации о Пользователе.

3.6. Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов (например, «1111111», «wwwww» и т.п.).

3.7. Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, «1234567», «qwerty» и т.п.).

3.8. При смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.

Пользователи во время процедуры аутентификации (ввода логина и пароля) на АРМ и в ИСПДн должны руководствоваться следующими правилами:

4.1. Ввод пароля должен осуществляться с учётом регистра, в котором пароль был задан.

4.2. Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и пр.).

4.3. В случае блокировки учетной записи Пользователя после превышения попыток ввода данных аутентификации (логина и пароля) в АРМ или ИСПДн, Пользователю необходимо уведомить Администратора или Ответственный соответственно для проведения процедуры генерации нового пароля.

Пользователи ИСПДн обязаны:

5.1. Четко знать и строго выполнять требования настоящей инструкции и других руководящих документов ___________________ по парольной защите.

5.2. Своевременно сообщать Ответственному и Администратору об утере, компрометации и несанкционированном изменении сроков действия паролей в АРМ и ИСПДн соответственно.

5.3. Ознакомиться под роспись с перечисленными в настоящей инструкции требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

6.1. Пользователь несет персональную ответственность за сохранность данных аутентификации (персонального логина и пароля) к АРМ и к ИСПДн.

Комментарии к статье "Инструкция по организации парольной защиты в информационных системах персональных данных"

Инструкция №5 По организации парольной защиты

Директор МОУ «СОШ № 47»

_______________О. Н. Куприянова

По организации парольной защиты

Муниципального общеобразовательного учреждения

«Средняя общеобразовательная школа № 47» города Магнитогорска

1. 
   ОБЩИЕ ПОЛОЖЕНИЯ
   
   1. 
      Данная инструкция регламентирует процессы генерации, смены и прекращения действия паролей (удаления учётных записей пользователей) в информационных системах персональных данных (далее - ИСПДн) Муниципального общеобразовательного учреждения «Средняя общеобразовательная школа № 47» города Магнитогорска – (далее МОУ «СОШ № 47» г. Магнитогорска), а также контроль над действиями пользователей и обслуживающего персонала системы при работе с паролями.
      
   2. 
      Осуществление процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на администратора безопасности ИСПДн.
      
2. 
   Термины и определения
   
   1. 
      Информация - сведения (сообщения, данные) независимо от формы их представления (ст. 2 ФЗ РФ от 27.07.2006 г. N 149-ФЗ «Об информации, информационных технологиях и защите информации»).
      
   2. 
      Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ РФ от 27.07.2006 г. N 152-ФЗ «О персональных данных»).
      
   3. 
      Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (ст. 3 ФЗ РФ от 27.07.2006 г. N 152-ФЗ «О персональных данных»).
      
   4. 
      Пароль - секретная комбинация цифр, знаков, слов, или осмысленное предложение, служащие для защиты информации от несанкционированного доступа к информационным ресурсам.
      
   5. 
      Компрометация пароля – раскрытие, обнаружение или утеря пароля.
      
3. 
   ^ ПРАВИЛА ФОРМИРОВАНИЯ ПАРОЛЕЙ
   
   1. 
      Личные пароли должны генерироваться и распределяться централизованно, либо выбираться пользователями информационной системы самостоятельно с учетом следующих требований:
      
      1. 
         длина пароля должна быть не менее 6 символов;
         
      2. 
         в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п. );
         
      3. 
         пароль не должен включать в себя имя пользователя, легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т.д.), последовательности символов и знаков (111, qwerty, абвгд и т.д.), общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетаний букв и знаков, которые можно угадать, основываясь на информации о пользователе;
         
      4. 
         при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6-ти позициях;
         
   2. 
      Сотрудникам допускается использовать пароли, составленные из первых букв слов запоминающихся высказываний в разном регистре, смешанные в произвольном порядке со специальными символами (например Кожзгсф7!).
      
   3. 
      В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на администратора безопасности ИСПДн.
      
   4. 
      Для обеспечения возможности использования имён и паролей некоторых сотрудников в их отсутствие (например, в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.), сотрудники обязаны сразу же после установки своих паролей передавать их на хранение вместе с именами своих учетных записей администратору безопасности ИСПДн в запечатанном конверте или опечатанном пенале. Опечатанные конверты (пеналы) с паролями сотрудников должны храниться в опечатанном сейфе, к которому исключён доступ других сотрудников МОУ «СОШ № 47» г. Магнитогорска и третьих лиц. Для опечатывания конвертов (пеналов) должны применяться личные печати владельцев паролей (при их наличии), либо печать администратора безопасности ИСПДн. Все конверты (пеналы) с паролями в обязательном порядке фиксируются в «Журнале учёта паролей пользователей информационной системы персональных данных».
      
4. 
   ^ ВВОД ПАРОЛЯ
   
   1. 
      При вводе пароля пользователю необходимо исключить произнесение его вслух, возможность его подсматривания посторонними лицами (человек за спиной, наблюдение человеком за движением пальцев в прямой видимости или в отраженном свете) и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т.п.).
      
5. 
   ^ ПОРЯДОК СМЕНЫ ЛИЧНЫХ ПАРОЛЕЙ
   
   1. 
      Смена паролей должна проводиться регулярно, не реже одного раза в 12 месяцев, самостоятельно каждым пользователем.
      
   2. 
      В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т.п.) должно производиться немедленное удаление его учётной записи сразу после окончания последнего сеанса работы данного пользователя с системой.
      
   3. 
      Срочная (внеплановая) полная смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) ответственных за обеспечение безопасности персональных данных, администраторов информационной системы и других сотрудников, которым по роду работы были предоставлены полномочия по управлению системой парольной защиты.
      
   4. 
      Администратор безопасности ИСПДн ведёт «Журнал учета паролей пользователя информационной системы персональных данных», в котором он отмечает причины внеплановой смены паролей пользователей.
      
   5. 
      Временный пароль, заданный администратором безопасности ИСПДн при регистрации нового пользователя, должен действовать в течение ограниченного срока времени. Пользователь должен изменить временный пароль при первом входе в систему.
      
6. 
   ^ ХРАНЕНИЕ ПАРОЛЯ
   
   1. 
      Запрещается записывать пароли на бумаге, в файле, электронной записной книжке, мобильном телефоне и любых других предметах и носителях информации.
      
   2. 
      Запрещается сообщать свой пароль полностью или частично другим пользователям, запрещается спрашивать или подсматривать пароль других пользователей.
      
   3. 
      Запрещается регистрировать других пользователей в ИСПДн со своим личным паролем, запрещается входить в ИСПДн под учётной записью и паролем другого пользователя.
      
7. 
   ^ ДЕЙСТВИЯ В СЛУЧАЕ УТЕРИ И КОМПРОМЕТАЦИИ ПАРОЛЯ
   
   1. 
      В случае утери или компрометации (разглашения, утраты) или подозрения в компрометации пароля пользователя должна быть немедленно проведена внеплановая процедура смены пароля.
      
8. 
   ^ ОТВЕТСТВЕННОСТЬ ПРИ ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ
   
   1. 
      Каждый пользователь ИСПДн несёт персональную ответственность за соблюдение требований настоящей Инструкции и за все действия, совершенные от имени его учётной записи в ИСПДн, если с его стороны не было предпринято необходимых действий для предотвращения компрометации пароля его учётной записи.
      
   2. 
      Ответственность за контроль проведения мероприятий по организации парольной защиты в МОУ «СОШ № 47» г. Магнитогорска возлагается на ответственного за обеспечение безопасности персональных данных.
      
   3. 
      За разглашение персональных данных и нарушение порядка работы со средствами ИСПДн, обрабатывающими персональные данные, сотрудники могут быть привлечены к гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.
      

Лист ознакомления с

Инструкцией № 5 «По организации парольной защиты»

ФИО сотрудника, ознакомившегося с документом

Должность сотрудника, ознакомившегося с документом

^ Подпись сотрудника, ознакомившегося с документом

Инструкция по организации парольной защиты в информационной системе персональных данных - Инфекционная больница ЕАО

1.1. Настоящая Инструкция разработана на основании «Специальных требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденных приказом Гостехкомиссии России от 30.08.2002 и Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119, «Положением об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных ОГБУЗ «Инфекционная больница» и других нормативно-правовых актов регулирующих обработку персональных данных в автоматизированных системах.
1.2. Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных (далее – ИСПДн), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.
1.3. Требования настоящей инструкции являются обязательными для исполнения всеми пользователями ИСПДн, а также другими сотрудниками, использующими в своей работе средства вычислительной техники.
1.4. Весь личный состав должен быть ознакомлены с требованиями Инструкции под роспись.
1.5. Контроль за выполнением требований Инструкции возлагается на ответственного за обеспечение безопасности персональных данных.
1.6. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам защиты информации и не исключает обязательного выполнения их требований.

2.1. Парольная защита применяется для решения следующих задач:
— обеспечение защиты информационных ресурсов информационных систем персональных данных от непреднамеренного воздействия, несанкционированного воздействия, разглашения, утечки, а также хищения, утраты, уничтожения, искажения или подделки за счет специальных воздействий.
— предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок.
— защита информации ограниченного распространения (защита персональных данных).
2.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на ответственного за обеспечение безопасности персональных данных.

3.1. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями системы самостоятельно с учетом следующих требований:
— пароль сотрудником выбирается самостоятельно (при самостоятельном выборе пароля пользователем);
— пароль должен знать только его владелец (при самостоятельном выборе пароля пользователем);
— пароль сотрудник вводит собственноручно (при самостоятельном выборе пароля пользователем);
— длина пароля должна быть не менее 6 символов;
— должна быть соблюдена сложность пароля (в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры);
— пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
— при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;
— личный пароль пользователь не имеет права сообщать никому.
3.2. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в 90 дней.
3.3. В случае компрометации личного пароля пользователя ИСПДн должна быть немедленно произведена внеплановая смена пароля в присутствии ответственного за обеспечение безопасности персональных данных.
3.4. Хранение сотрудником значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за обеспечение безопасности персональных данных или начальника отдела в опечатанном личной печатью пенале (возможно вместе с персональными идентификаторами).
3.5. В случае генерировании пароля и его централизованном распределении пароль выдается под роспись в «Карточке паролей». Форма «Карточки паролей» приведена в приложении №1 к Инструкции. «Карточка паролей» должна хранится в сейфе у ответственного за обеспечение безопасности персональных данных.
3.5. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за информационную безопасность (руководителей подразделений), периодический контроль — возлагается на ответственного за обеспечение безопасности персональных данных.

4.1. Пароль является служебной тайной, и каждый сотрудник несет ответственность за сохранность в тайне собственного пароля в соответствии с действующим законодательством.
4.2. В случае генерировании пароля и его централизованном распределении ответственность за сохранность пароля несут ответственный за обеспечение безопасности персональных данных и пользователь, которому выдан пароль.

Инструкция по организации парольной защиты

Утверждено приказом Руководителя УСЗН Брединского муниципального района от « 01» декабря 2014 г. № 85

Инструкция по организации парольной защиты

1. Общие положения

1.1. Инструкция по организации парольной защиты (далее - Инструкция) призвана регламентировать организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах Управления социальной защиты населения Брединского муниципального района Челябинской области (далее - УСЗН), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

1.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах информационной системы (далее - ИС) УСЗН и контроль за действиями исполнителей и обслуживающего персонала при работе с паролями возлагается на системного администратора УСЗН.

2. Правила формирования паролей

2.1. Личные пароли генерируются и распределяются централизованно либо выбираются пользователями информационной системы самостоятельно с учетом следующих требований:

пароль должен состоять не менее чем из восьми символов; в пароле обязательно должны присутствовать буквы из верхнего и нижнего регистров, цифры и специальные симролы (@, #, $, &, *, % и т. п.);

пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т. д.), последовательности символов и знаков (111, qwerty. abed и т. д.), общепринятые сокращения (ЭВМ, ЛВС, USER и т. п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетания букв и знаков, которые можно угадать, основываясь на информации о пользователе;

при смене пароля новый пароль должен отличаться от старого не менее чем в шести позициях.

2.2. В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников центра дистанционного образования.

2.3. При технологической необходимости использования имен и паролей некоторых работников (исполнителей) в их отсутствие (в случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т. п.) такие работники обязаны сразу же после смены своих паролей их новые значения (вместе с именами своих учетных записей) в запечатанном конверте или опечатанном пенале передать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для их опечатывания рекомендуется использовать печать отдела кадров.

При вводе пароля пользователю необходимо исключить произнесение его вслух, возможность его подсматривания посторонними лицами и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т. п.).

4.1. Смена паролей проводится регулярно, не реже одного раза в три месяца.

4.2. В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т. п.) системный администратор должен немедленно удалить его учетную запись сразу после окончания последнего сеанса работы данного пользователя с системой.

4.3. Срочная (внеплановая) полная смена паролей производится в случае прекращения полномочий (увольнение, переход на другую работу и т. п.) администраторов информационной системы и других работников, которым по роду работы были предоставлены полномочия по управлению системой парольной защиты.

4.4. Смена пароля производится самостоятельно каждым пользователем в соответствии с п. 2.1 Инструкции и/или в соответствии с указанием в системном баннере -предупреждении (при наличии технической возможности).

4.5. Временный пароль, заданный системным администратором при регистрации нового пользователя, следует изменить при первом входе в систему.

5.1. Хранение пользователем своего пароля на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе либо в сейфе у системного администратора или руководителя подразделения в опечатанном пенале.

5.2. Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации.

5.3. Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.

В случае утери или компрометации пароля пользователя должны быть немедленно предприняты меры в соответствии с п. 4.3 или п. 4.4 Инструкции в зависимости от полномочий владельца скомпрометированного пароля.

7.1. Владельцы паролей должны быть ознакомлены под расписку с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение информации о пароле.

7.2. Ответственность за организацию парольной защиты в структурных подразделениях УСЗН возлагается на системного администратора.

7.3. Работники УСЗН и лица, имеющие отношение к обработке персональных данных в информационных системах УСЗН, должны быть ознакомлены с Инструкцией под расписку.