Приложение к Приказу от 06.11.2015 г № 120-МПР
Инструкция по организации парольной защиты в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в Министерстве здравоохранения Иркутской области
Глава 1.Общие положения
1.Настоящая Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной информационной системе управления финансово-хозяйственной деятельностью (далее - АИС) в министерстве здравоохранения Иркутской области (далее - Министерство), требования к содержанию паролей, а также контроль за действиями пользователей информационных систем при работе с идентификаторами и персональными паролями.
2.Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в АИС и контроль за данными действиями возлагается на администратора информационной безопасности Министерства - администратора средств защиты, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.
3.Контроль за действиями пользователей в АИС при работе с паролями, соблюдением порядка их смены, хранения и за соответствие паролей требованиям настоящей Инструкции возлагается на сотрудника, ответственного за организацию обработки персональных данных в АИС.
Глава 2.Правила формирования паролей
4.Персональные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями информационных систем самостоятельно с учетом следующих требований:
а) длина пароля должна быть не менее 6 символов;
б) в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры;
в) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т.д.), последовательности символов и знаков (111, qwerty, abcd и т.д.), общепринятые сокращения (ADMIN, SECRET, USER и т.п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетания букв и знаков, которые можно угадать, основываясь на информации о пользователе;
г) использование трех и более подряд идущих на клавиатуре символов, набранных в одном регистре, недопустимо;
д) при смене пароля новое значение должно отличаться от предыдущего не менее чем в 3 позициях;
е) личный пароль пользователь не имеет права сообщать никому;
ж) новый пароль не должен совпадать с одним из трех предыдущих паролей;
з) пользователь Министерства обязан сохранять в тайне свой личный пароль.
5.В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на администратора информационной безопасности.
6.При технологической необходимости использования учетных данных некоторых сотрудников в их отсутствие (в случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т.п.) администратором информационной безопасности Министерства по запросу от начальников отделов министерства здравоохранения Иркутской области предоставляется одноразовый пароль на данную учетную запись. По возвращении сотрудник Министерства обязан сменить персональный пароль на все локальное программное обеспечение.
Глава 3.Ввод пароля
7.В целях обеспечения информационной безопасности и противодействия попыткам подбора пароля в АИС определены правила ввода пароля:
а) символы вводимого пароля не отображаются на экране в явном виде;
б) учет всех попыток (успешных и неудачных) входа в систему.
8.При первоначальном вводе или смене пароля пользователя действуют следующие правила:
а) символы вводимого пароля не должны явно отображаться на экране;
б) для подтверждения правильности ввода пароля (с учетом первого правила) - ввод пароля необходимо проводить 2 раза.
9.Ввод пароля должен осуществляться непосредственно пользователем АИС (владельцем пароля). Пользователю Министерства запрещается передавать пароль для ввода другим лицам. Передача пароля для ввода другим лицам является разглашением конфиденциальной информации и влечет за собой ответственность в соответствии с действующим законодательством Российской Федерации.
10.Непосредственно перед вводом пароля для предотвращения возможности неверного ввода пользователь АИС должен убедиться в правильности языка ввода (раскладки клавиатуры), проверить, не является ли активной клавиша CAPS LOCK (если это необходимо), а также проконтролировать расположение клавиатуры (клавиатура должна располагаться таким образом, чтобы исключить возможность увидеть набираемый текст посторонними).
11.При вводе пароля пользователю Министерства необходимо исключить произнесение его вслух, возможность его подсматривания посторонними лицами и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т.п.).
Глава 4.Порядок смены личных паролей
12.Полная плановая смена паролей проводится регулярно, не реже одного раза в квартал.
13.При смене пароля администратором информационной безопасности Министерства производится тестирование функций средств защиты информации от несанкционированного доступа путем ввода с клавиатуры заведомо ложного пароля, при наличии считывателя - предъявления стороннего идентификатора.
14.Внеплановая смена персонального пароля или удаление учетной записи пользователя АИС в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и т.п.) должны производиться администратором информационной безопасности Министерства немедленно после окончания последнего сеанса работы данного пользователя с системой.
15.Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри предприятия и т.д.) администратора информационной безопасности Министерства, сотрудника, ответственного за организацию обработки персональных данных и других сотрудников, которым для выполнения их должностных обязанностей были предоставлены полномочия по управлению парольной защитой подсистем АИС.
16.Временный пароль, заданный системным администратором при регистрации нового пользователя, следует изменить при первом входе в систему.
17.Учетная запись пользователя Министерства, ушедшего в длительный отпуск (более 60 дней), должна блокироваться администратором информационной безопасности Министерства.
18.Удаление учетных записей пользователей, уволенных, переведенных в другое структурное подразделение, филиал, региональный центр, должно производиться администратором информационной безопасности Министерства немедленно.
Глава 5.Хранение пароля
19.Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации.
20.Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
Глава 6.Действия в случае утери и компрометации пароля
21.В случае возникновения необходимости в смене пароля ввиду компрометации пользователь должен:
а) немедленно сменить свой пароль;
б) известить администратора информационной безопасности;
в) известить сотрудника, ответственного за организацию обработки персональных данных в организации.
22.В случае компрометации (утеря, передача парольной информации) персонального пароля пользователя АИС должны быть немедленно предприняты меры в соответствии с пунктом 14 или пунктом 15 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.
Глава 7.Ответственность при организации парольной защиты
23.Владельцы паролей должны быть ознакомлены под расписку с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение информации о пароле.
24.Ответственность за организацию парольной защиты в АИС возлагается на администратора информационной безопасности Министерства.
25.Лица, имеющие отношение к обработке персональных данных в АИС, должны быть ознакомлены с настоящей Инструкцией под расписку.
Начальник отдела мобилизационной
работы и организации медицинской
помощи при чрезвычайных ситуациях
А.А.МАЙДАНЮК