Инструкция по организации парольной защиты информации


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
Инструкция по организации парольной защиты


Настоящая Инструкция регламентирует организационно
-
техническое
обеспечение процессов генерации, использования, смены и прекращения
действия паролей (удаления учетных записей пользователей) в
отделе
разработок
, а также
процесса контроля действий пользователей и
обслуживающего персонала системы при работе с паролями.


Правила формирования личного пароля

Личные пароли должны генерироваться и распределяться
централизованно либо выбираться пользователями СВТ самостоятельно с
учетом следующих требований:



длина пароля должна быть не менее 8 символов;



в числе символов пароля должны присутствовать символы трех
категорий из числа следующих четырех:



прописные буквы английского алфавита от A до Z;



строчные буквы английского алфавита

от a до z;



десятичные цифры (от 0 до 9);



неалфавитные символы (
например: !,

$, #, %);



пароль не должен включать в себя легко вычисляемые сочетания
символов (имена, фамилии и т.д.), а также общепринятые сокращения
(LAN, USER и т.п.);



пароль не должен содержать фразу, выражение или слово

на любом
общепринятом языке
;



при смене пароля новое

значение должно отличаться от предыдущего не
менее чем в 6 позициях.


В
вод пароля


В целях обеспечения информационной безопасности и противодействия
попыткам подбора пароля в
отделе разработок

определены правила ввода
пароля:



символы вводимого пароля не отобража
ются на экране в явном виде;



учёт всех попыток (успешных и неудачных) входа в систему.


П
ри первоначальном вводе или смене пароля пользователя действуют
следующие правила:



символы вводимого пароля не должны явно отображаться на экране;



для подтверждения пр
авильности ввода пароля (с учетом первого
правила)
-

ввод пароля необходимо проводить 2 раза.

В
вод пароля должен осуществляться непосредственно пользователем
СВТ (владельцем пароля). Пользователю запрещается передавать
пароль для ввода другим лицам. Переда
ча пароля для ввода другим
лицам является разглашением конфиденциальной информации и влечёт
за собой ответственность согласно положениям данной Инструкции.


Непосредственно перед вводом пароля для предотвращения
возможности неверного ввода пользователь СВТ

должен убедиться в
правильности языка ввода (раскладки клавиатуры), проверить, не является ли
активной клавиша CAPSLOCK (если это необходимо), а также
проконтролировать расположение клавиатуры (клавиатура должна
располагаться
таким образом, чтобы

исключи
ть возможность увидеть
набираемый текст посторонними).

При вводе пароля пользователю СВТ запрещается проговаривать вслух
вводимые символы.



Порядок смены паролей

В случае возникновения необходимости в смене пароля в виду
компрометации пользователь должен:



немедленно сменить свой пароль;



известить
А
ИБ.


В
неплановая смена личного пароля или удаление учетной записи
пользователя СВТ в случае прекращения его полномочий (увольнение,
перевод в другое структурное подразделение, филиа
л, региональный центр и
т.п.) должна производиться специалистами
непосредственно после окончания
последнего сеанса работы данного пользователя с СВТ.

Внеплановая полная смена паролей всех пользователей СВТ должна
производиться в случае

прекращения полномочий (увольнение, перевод в
другое структурное подразделение, филиал, региональный центр и другие
обстоятельства) администраторов средств защиты и других сотрудников,
которым по роду деятельности были предоставлены полномочия по
управлен
ию парольной защитой
отдела разработок
.

Сотрудники Техподдержки и пользователи СВТ в течение 3
-
х часов
после смены своих паролей должны передать их новые значения вместе с
именами соответствующих учетных записей в запечатанном конверте
руководителям своих струк
турных подразделений на хранение. При
получении конверта с новыми паролями конверт со старыми паролями
уничтожается.

Учетная запись пользователя, ушедшего в длительный отпуск (более 60
дней), должна блокироваться сотрудником
с момента
получения
уведомления
от
АИД
.

Удаление учетных записей пользователей, уволенных, переведенных в
другое структурное подразделение, филиал, региональный центр должно
производиться сотрудником
немедленно с

момента получения

уведомления
.

Хранение пароля

Хранение пользователем СВТ своих паролей на бумажном носителе
допускается только
у ответственного за информационную безопасность или у
руководителя подразделения Компании в опечатанном личной печатью
конверте
(возможно, вместе с персональными ключевыми носителями).

При возникновении про
изводственной необходимости в срочном
доступе к СВТ временно отсутствующего пользователя разрешается
произвести смену пароля пользователя его непосредственным руководителем.
При этом должен быть составлен акт о вскрытии конверта с паролем и о его
повторном

опечатывании с новым паролем.

Аутентификация некоторых пользователей может быть обеспечена с
использованием специальных аппаратно
-
программных средств,
рекомендованных к использованию
А
ИБ Компании и централизованно
закупленных Компанией у разработчиков (п
оставщиков) указанных средств.












Ответственность при организации парольной защиты


Пользователи СВТ должны быть ознакомлены под роспись с
требованиями настоящей Инструкции и предупреждены об ответственности
за нарушение требований данной Инструкции.

Пользователю СВТ запрещается разглашать свой пароль за
исключением случаев, описанных в настоящей Инструкции. За разглашение
парольной информации, которая представляет конфиденциальные сведения,
сотрудник Компании привлекается к ответственности в соответст
вии с
действующим законодательством Российской Федерации.

Повседневный контроль действий пользователей СВТ при работе с
паролями, соблюдением порядка их смены, хранения и использования
возлагается на ответственных за информационную безопасность в
подразде
лениях Компании (руководителей подразделений
)
.


Термины и сокращения

ИС
-

Информационная система

СВТ
-

Средства вычислительной техники

А
ИБ


Администратор
по

информационной безопасности


Приложенные файлы

  • pdf 8890427
    Размер файла: 218 kB Загрузок: 0

Добавить комментарий