Инструкция по организации парольной защиты

Настоящая Инструкция регламентирует организационно-техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей (удаления учетных записей пользователей) в ИС Компании, а также процесса контроля действий пользователей и обслуживающего персонала системы при работе с паролями.

Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями СВТ самостоятельно с учетом следующих требований:

• длина пароля должна быть не менее 8 символов;
• в числе символов пароля должны присутствовать символы трех категорий из числа следующих четырех:
  • прописные буквы английского алфавита от A до Z;
  • строчные буквы английского алфавита от a до z;
  • десятичные цифры (от 0 до 9);
  • неалфавитные символы (например: !, $, #, %);
• пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т.д.), а также общепринятые сокращения (LAN, USER и т.п.);
• при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.

В целях обеспечения информационной безопасности и противодействия попыткам подбора пароля в ИС Компании определены правила ввода пароля:

• символы вводимого пароля не отображаются на экране в явном виде;
• учёт всех попыток (успешных и неудачных) входа в систему.

При первоначальном вводе или смене пароля пользователя действуют следующие правила:

• символы вводимого пароля не должны явно отображаться на экране;
• для подтверждения правильности ввода пароля (с учетом первого правила) - ввод пароля необходимо проводить 2 раза.

Ввод пароля должен осуществляться непосредственно пользователем СВТ (владельцем пароля). Пользователю запрещается передавать пароль для ввода другим лицам. Передача пароля для ввода другим лицам является разглашением конфиденциальной информации и влечёт за собой ответственность согласно положениям данной Инструкции.

Непосредственно перед вводом пароля для предотвращения возможности неверного ввода пользователь СВТ должен убедиться в правильности языка ввода (раскладки клавиатуры), проверить, не является ли активной клавиша CAPSLOCK (если это необходимо), а также проконтролировать расположение клавиатуры (клавиатура должна располагаться таким образом, что бы исключить возможность увидеть набираемый текст посторонними).

При вводе пароля пользователю СВТ запрещается проговаривать вслух вводимые символы.

В случае возникновения необходимости в смене пароля в виду компрометации пользователь должен:

• немедленно сменить свой пароль;
• известить службу Техподдержки;
• известить СИБ.

Внеплановая смена личного пароля или удаление учетной записи пользователя СВТ в случае прекращения его полномочий (увольнение, перевод в другое структурное подразделение, филиал, региональный центр и т.п.) должна производиться специалистами службы Техподдержки непосредственно после окончания последнего сеанса работы данного пользователя с СВТ.

Внеплановая полная смена паролей всех пользователей СВТ должна производиться в случае прекращения полномочий (увольнение, перевод в другое структурное подразделение, филиал, региональный центр и другие обстоятельства) администраторов средств защиты и других сотрудников, которым по роду деятельности были предоставлены полномочия по управлению парольной защитой ИС Компании.

Сотрудники Техподдержки и пользователи СВТ в течение 3-х часов после смены своих паролей должны передать их новые значения вместе с именами соответствующих учетных записей в запечатанном конверте руководителям своих структурных подразделений на хранение. При получении конверта с новыми паролями конверт со старыми паролями уничтожается.

Учетная запись пользователя, ушедшего в длительный отпуск (более 60 дней), должна блокироваться сотрудником службы Техподдержки с момента получения письменного уведомления от кадровой службы Компании.

Удаление учетных записей пользователей, уволенных, переведенных в другое структурное подразделение, филиал, региональный центр должно производиться сотрудником службы Техподдержки немедленно с момента получения письменного уведомления из кадровой службы Компании.

Кадровая служба Компании должна известить службу Техподдержки о состоявшемся приказе в течение 24 часов после увольнения, перевода работника в другое структурное подразделение, филиал, региональный центр.

Хранение пользователем СВТ своих паролей на бумажном носителе допускается только в сейфе у ответственного за информационную безопасность или у руководителя подразделения Компании в опечатанном личной печатью конверте (возможно, вместе с персональными ключевыми носителями).

Пароли сотрудников службы Техподдержки с именами учетных записей и датой установки паролей должны храниться в опечатанных конвертах в сейфе у руководителя службы Техподдержки.

При возникновении производственной необходимости в срочном доступе к СВТ временно отсутствующего пользователя разрешается произвести смену пароля пользователя его непосредственным руководителем. При этом должен быть составлен акт о вскрытии конверта с паролем и о его повторном опечатывании с новым паролем.

Аутентификация некоторых пользователей может быть обеспечена с использованием специальных аппаратно-программных средств, рекомендованных к использованию СИБ Компании и централизованно закупленных Компанией у разработчиков (поставщиков) указанных средств.

Пользователи СВТ должны быть ознакомлены под роспись с требованиями настоящей Инструкции и предупреждены об ответственности за нарушение требований данной Инструкции.

Пользователю СВТ запрещается разглашать свой пароль за исключением случаев, описанных в настоящей Инструкции. За разглашение парольной информации, которая представляет конфиденциальные сведения, сотрудник Компании привлекается к ответственности в соответствии с действующим законодательством Российской Федерации.

Повседневный контроль действий пользователей СВТ при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за информационную безопасность в подразделениях Компании (руководителей подразделений), периодический контроль возлагается на сотрудников службы Техподдержки.

ИС - Информационная система

СВТ - Средства вычислительной техники

СИБ - Служба информационной безопасности