Инструкция по организации парольной защиты
Настоящая Инструкция регламентирует организационно-техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей (удаления учетных записей пользователей) в ИС Компании, а также процесса контроля действий пользователей и обслуживающего персонала системы при работе с паролями.
Правила формирования личного пароля
Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями СВТ самостоятельно с учетом следующих требований:
- длина пароля должна быть не менее 8 символов;
- в числе символов пароля должны присутствовать символы трех категорий из числа следующих четырех:
- прописные буквы английского алфавита от A до Z;
- строчные буквы английского алфавита от a до z;
- десятичные цифры (от 0 до 9);
- неалфавитные символы (например: !, $, #, %);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т.д.), а также общепринятые сокращения (LAN, USER и т.п.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.
Ввод пароля
В целях обеспечения информационной безопасности и противодействия попыткам подбора пароля в ИС Компании определены правила ввода пароля:
- символы вводимого пароля не отображаются на экране в явном виде;
- учёт всех попыток (успешных и неудачных) входа в систему.
При первоначальном вводе или смене пароля пользователя действуют следующие правила:
- символы вводимого пароля не должны явно отображаться на экране;
- для подтверждения правильности ввода пароля (с учетом первого правила) - ввод пароля необходимо проводить 2 раза.
Ввод пароля должен осуществляться непосредственно пользователем СВТ (владельцем пароля). Пользователю запрещается передавать пароль для ввода другим лицам. Передача пароля для ввода другим лицам является разглашением конфиденциальной информации и влечёт за собой ответственность согласно положениям данной Инструкции.
Непосредственно перед вводом пароля для предотвращения возможности неверного ввода пользователь СВТ должен убедиться в правильности языка ввода (раскладки клавиатуры), проверить, не является ли активной клавиша CAPSLOCK (если это необходимо), а также проконтролировать расположение клавиатуры (клавиатура должна располагаться таким образом, что бы исключить возможность увидеть набираемый текст посторонними).
При вводе пароля пользователю СВТ запрещается проговаривать вслух вводимые символы.
Порядок смены паролей
В случае возникновения необходимости в смене пароля в виду компрометации пользователь должен:
- немедленно сменить свой пароль;
- известить службу Техподдержки;
- известить СИБ.
Внеплановая смена личного пароля или удаление учетной записи пользователя СВТ в случае прекращения его полномочий (увольнение, перевод в другое структурное подразделение, филиал, региональный центр и т.п.) должна производиться специалистами службы Техподдержки непосредственно после окончания последнего сеанса работы данного пользователя с СВТ.
Внеплановая полная смена паролей всех пользователей СВТ должна производиться в случае прекращения полномочий (увольнение, перевод в другое структурное подразделение, филиал, региональный центр и другие обстоятельства) администраторов средств защиты и других сотрудников, которым по роду деятельности были предоставлены полномочия по управлению парольной защитой ИС Компании.
Сотрудники Техподдержки и пользователи СВТ в течение 3-х часов после смены своих паролей должны передать их новые значения вместе с именами соответствующих учетных записей в запечатанном конверте руководителям своих структурных подразделений на хранение. При получении конверта с новыми паролями конверт со старыми паролями уничтожается.
Учетная запись пользователя, ушедшего в длительный отпуск (более 60 дней), должна блокироваться сотрудником службы Техподдержки с момента получения письменного уведомления от кадровой службы Компании.
Удаление учетных записей пользователей, уволенных, переведенных в другое структурное подразделение, филиал, региональный центр должно производиться сотрудником службы Техподдержки немедленно с момента получения письменного уведомления из кадровой службы Компании.
Кадровая служба Компании должна известить службу Техподдержки о состоявшемся приказе в течение 24 часов после увольнения, перевода работника в другое структурное подразделение, филиал, региональный центр.
Хранение пароля
Хранение пользователем СВТ своих паролей на бумажном носителе допускается только в сейфе у ответственного за информационную безопасность или у руководителя подразделения Компании в опечатанном личной печатью конверте (возможно, вместе с персональными ключевыми носителями).
Пароли сотрудников службы Техподдержки с именами учетных записей и датой установки паролей должны храниться в опечатанных конвертах в сейфе у руководителя службы Техподдержки.
При возникновении производственной необходимости в срочном доступе к СВТ временно отсутствующего пользователя разрешается произвести смену пароля пользователя его непосредственным руководителем. При этом должен быть составлен акт о вскрытии конверта с паролем и о его повторном опечатывании с новым паролем.
Аутентификация некоторых пользователей может быть обеспечена с использованием специальных аппаратно-программных средств, рекомендованных к использованию СИБ Компании и централизованно закупленных Компанией у разработчиков (поставщиков) указанных средств.
Ответственность при организации парольной защиты
Пользователи СВТ должны быть ознакомлены под роспись с требованиями настоящей Инструкции и предупреждены об ответственности за нарушение требований данной Инструкции.
Пользователю СВТ запрещается разглашать свой пароль за исключением случаев, описанных в настоящей Инструкции. За разглашение парольной информации, которая представляет конфиденциальные сведения, сотрудник Компании привлекается к ответственности в соответствии с действующим законодательством Российской Федерации.
Повседневный контроль действий пользователей СВТ при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за информационную безопасность в подразделениях Компании (руководителей подразделений), периодический контроль возлагается на сотрудников службы Техподдержки.
Термины и сокращения
ИС - Информационная система
СВТ - Средства вычислительной техники
СИБ - Служба информационной безопасности