Воскресенье , 22 Декабрь 2024
Вы здесь: Главная » Документы » Инструкция по организации парольной защиты

Инструкция по организации парольной защиты

  1. Общие положения

Настоящая инструкция устанавливает основные правила парольной защиты и регламентирует организационно-техническое обеспечение генерации, смены и прекращения действия паролей, а также контроль за действиями пользователей системы при работе с паролями. Настоящая инструкция оперирует следующими основными понятиями:

Идентификация — присвоение субъектам и объектам доступа уникального и однозначно определяющего их в пределах ИСПД идентификатора, и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

ИСПД — информационная система персональных данных.

Компрометация — факт доступа постороннего лица к защищаемой информации, а также подозрение на него.

Объект доступа — единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.

  • Пароль — признак субъекта доступа, предъявляемый совместно с идентификатором субъекта в процессе идентификации.
  • Правила доступа — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
  • Субъект доступа — лицо или процесс, действия которого регламентируются правилами разграничения доступа.
  • Несанкционированный доступ — доступ к информации, нарушающий правила разграничения доступа в ИСПД.
  • 2.        Правила генерации паролей
    • Персональные пароли должны генерироваться специальными программными средствами административной службы либо задаваться субъектом самостоятельно в соответствии с требованиями данной инструкции.
    • Длина пароля должна быть не менее 12 символов.
    • Для ввода имени пользователя и пароля разрешается применять следующие символы. Имя пользователя и пароль следует вводить с учетом регистра.
    • Заглавные латинские буквы: от A до Z (26 символов)
    • Строчные латинские буквы: от a до z (26 символов)
    • Цифры от 0 до 9 (10 символов)
    • Символы: (пробел) ! » # $ % & ‘ ( ) * + , — . / : ; < = > ? @ [ \ ] ^ _` { | } ~ (33 символа)
    • Пароль не должен включать в себя:
  • номера телефонов, автомобилей;
  • персональные данные (ФИО, дата рождения, номер паспорта, номер зачетной книжки, адрес и т.п.);
  • при смене пароля новое сочетание символов должно отличаться от предыдущего не менее чем на 2 символа.
    • Допускается использование единого пароля для доступа субъекта доступа к различным информационным ресурсам одной ИСПД.
    • Срок действия пароля задается администратором информационной безопасности. Субъект обязан сменить пароль по истечению срока его действия.
  • 3.        Порядок смены паролей
    • Полная плановая смена паролей пользователей должна проводиться по предложению администратора информационной безопасности ИСПД и на основании распоряжения руководителя структурного подразделения.
    • В случае компрометации личного пароля пользователя надлежит немедленно ограничить доступ к информации с данной учетной записи, до момента вступления в силу новой учетной записи пользователя или пароля.
  • 4.      Обязанности пользователей при работе с парольной защитой
    • При работе с парольной защитой пользователям запрещается:
  • разглашать кому-либо персональный пароль и прочие идентифицирующие сведения;
  • предоставлять доступ от своей учетной записи к информации, хранящейся в ИСПД, посторонним лицам;
  • записывать пароли на бумаге, файле, электронных и прочих носителях информации, в том числе и на предметах.
    • Хранение пользователем своего пароля на бумажном носителе допускается только в личном, опечатанном владельцем пароля, сейфе.
    • При вводе пароля пользователь обязан исключить возможность его перехвата сторонними лицами и техническими средствами.
  • 5.      Компрометация паролей
    • Под компрометацией следует понимать следующее:
  • физическая утеря носителя с парольной информацией;
  • передача идентификационной информации по открытым каналам связи вне ИСПД;
  • проникновение постороннего лица в помещение физического хранения носителя парольной информации или алгоритма, или подозрение на него (срабатывание сигнализации, повреждение устройств контроля НСД (слепков печатей), повреждение замков и т. п.);
  • перехват пароля при распределении идентификаторов;
  • сознательная передача информации постороннему лицу.
    • Действия при компрометации пароля:
  • скомпрометированный пароль сразу же выводится из действия, взамен вводятся запасной или новый пароль;
  • о компрометации немедленно оповещаются все участники обмена информацией.
  • 6.      Ответственность пользователей при работе с парольной защитой
    • Ответственность за организацию парольной защиты возлагается на администратора информационной безопасности ИСПД.
    • Повседневный контроль за действиями работников ПГНИУ при работе с паролями, соблюдением порядка их смены, хранения и использования, возлагается на администратора информационной безопасности ИСПД.
    • Владельцы паролей должны быть ознакомлены с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
    • Ответственность в случае несвоевременного уведомления ответственного за систему защиты информации в ИСПД о случаях утери, кражи, взлома или компрометации паролей возлагается на владельца взломанной учетной записи.

Комментарий закрыты.

Вверх