-
-
-
-
-
-
|
Утверждено приказом
ОГПОБУ «Политехнический техникум»
«____» ____________ 2015 г.
|
|
|
Инструкция
по парольной защите информации в автоматизированных системах
ОГПОБУ «Политехнический техникум»
Биробиджан
2015
Обозначения и сокращения
АВС – антивирусные средства
|
АРМ – автоматизированное рабочее место
|
АС – автоматизированная система
|
АСО – активное сетевое оборудование
|
АСУ – автоматизированная система управления
|
БД – база данных
|
ВТСС – вспомогательные технические средства и системы
|
ЗИ – защита информации
|
ИБ – информационная безопасность
|
ИБП – источник бесперебойного питания
Инструкция – Инструкция по парольной защите информации в автоматизированных системах ОГПОБУ «Политехнический техникум»
|
КЗ – контролируемая зона
|
КСЗИ – комплекс средств защиты информации
|
ЛВС – локальная вычислительная сеть
|
МЭ – межсетевой экран
|
НСД – несанкционированный доступ
|
ОС – операционная система
ОГПОБУ «Политехнический техникум» – Областное государственное профессиональное образовательное бюджетное учреждение «Политехнический техникум»
Директор – директор ОГПОБУ «Политехнический техникум»
ОИ - объект информатизации
|
ПАК – программно-аппаратный комплекс
|
ПМВ – программно-математическое воздействие
|
ПО – программное обеспечение
Устав – Устав Областного государственного профессионального образовательного бюджетного учреждения «Политехнический техникум»
|
ППО – прикладное программное обеспечение
|
ПЭМИН – побочные электромагнитные излучения и наводки
|
ПЭВМ – персональная электронно-вычислительная машина
|
РД – руководящий документ
|
САЗ – система анализа защищенности
|
СВТ – средства вычислительной техники
|
СЗИ – средства защиты информации
|
СОВ – система обнаружения вторжений
|
СПО – специальное программное обеспечение
|
ТКУИ – технические каналы утечки информации
|
ТС – технические средства АС
|
Общие положения
Настоящая Инструкция разработана в соответствии со Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Председателя Гостехкомиссии России от 30.08.2002 № 282-дсп, Приказа ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных», Положения о порядке организации и проведения работ в ОГПОБУ «Политехнический техникум» по защите информации ограниченного доступа (защищаемой информации) и других нормативных правовых актов и руководящих документов в области защиты информации.
Инструкция устанавливает требования и ответственность при организации парольной защиты информации, а также определяет порядок контроля за действиями пользователей и обслуживающего персонала системы при работе с паролями.
Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения безопасности информации, и не исключает обязательного выполнения их требований.
Требования настоящей Инструкции являются обязательными для исполнения всеми работниками ОГПОБУ «Политехнический техникум», использующими в своей работе средства вычислительной техники.
Все работники ОГПОБУ «Политехнический техникум», использующие в своей работе средства вычислительной техники, должны быть ознакомлены с требования настоящей Инструкции под роспись.
На основании настоящей Инструкции в подведомственных ОГПОБУ «Политехнический техникум» учреждениях разрабатывается собственная инструкция об парольной защите информации с учетом специфики построения автоматизированных систем (АС).
При существенных изменениях, используемых в ОГПОБУ «Политехнический техникум» информационных технологий, настоящая Инструкция может быть изменена и дополнена.
Требования, предъявляемые к идентификаторам (кодам) и паролям (порядок формирования и обращения с ними)
Авторизация пользователей осуществляется путем ввода идентификатора и пароля.
При авторизации в АС, предназначенных для обработки информации ограниченного доступа, обязательным дополнительным условием является применение средств усиленной идентификации и аутентификации.
-
Требования к формированию паролей и обращению с ними.
В рамках парольной защиты в ОГПОБУ «Политехнический техникум» пароли бывают первичными и постоянными. Первичный пароль формируется ответственным за безопасность информации и учитывается в журнале учета паролей (Приложение 1) и выдается пользователю в виде карточки паролей (Приложение 2).
Журнал учета паролей разрешается вести в электронном виде. Информация из журнала подлежит защите от несанкционированного доступа.
При создании нового пользователя в обязательном порядке необходимо включить опцию смены пароля при следующем входе пользователя в систему. При следующем входе в систему пользователь формирует постоянный пароль с учетом требований настоящей Инструкции.
В случае отсутствия технической возможности включения данной опции пароль генерируется пользователем самостоятельно с учетом требований настоящей Инструкции.
Постоянный пароль является личным паролем. Владельцы личных паролей обязаны обеспечивать их тайну.
Первичные и постоянные пароли в ОГПОБУ «Политехнический техникум» генерируются с учетом следующих требований:
пароль должен знать только его владелец (при самостоятельном выборе пароля пользователем);
пароль работник вводит собственноручно (при самостоятельном выборе пароля пользователем);
длина пароля должна быть не менее 6 символов;
должна быть соблюдена сложность пароля (в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры);
пароль не должен включать смысловую нагрузку (имена, фамилии, наименования организаций, улиц, городов и т.д.), общепринятые сокращения (user01, password02 и т.п.) и последовательные сочетания клавиш клавиатуры (qwerty01, Йцукен12);
пароль невозможно использовать повторно до тех пор, пока не будет создано 4 других пароля;
количество неудачных попыток входа в систему, приводящее к блокировке учетной записи пользователя должно быть не более 10;
пользователь не имеет права сообщать свой личный пароль никому.
-
Требования к формированию паролей обеспечиваются техническими возможностями используемых операционных систем, средств защиты информации и информационных ресурсов (например, 1С-Предприятие, СУФД Федерального казначейства и т.п.).
Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в три месяца. Внеплановая смена пароля производится по требованию ответственного за парольную защиту, в случае его компрометации, а также по просьбе пользователя. Для внеплановой смены пароля по просьбе пользователь должен представить ответственному за безопасность информации служебную записку с указанием причины замены пароля.
Хранение работниками ОГПОБУ «Политехнический техникум» значений своих паролей на бумажном носителе ЗАПРЕЩЕНО.
Администраторские пароли (пароли системных администраторов, администраторов баз данных (информационных ресурсов), администраторов безопасности) должны храниться на бумажных носителях в опечатанных конвертах из плотной бумаги. При этом хранение должно быть только в личном, опечатанном владельцем пароля сейфе или надежно запираемом металлическом шкафу либо в пенале, опечатанном личной печатью (возможно вместе с персональными идентификаторами).
Разрешается хранение администраторских паролей у непосредственного руководителя владельца администраторского пароля при соблюдении вышеперечисленных требований.
Требования к порядку формирования и обращения с паролями и идентификаторами распространяются как на порядок работы в АС, так и на порядок работы с информационными ресурсами (например, 1С-Предприятие, СУФД Федерального казначейства и т.п.), требующих процедуры авторизации.
При авторизации при работе с информационным ресурсом генерация паролей осуществляется администратором этих баз данных и ресурсов. Требования настоящей Инструкции при формировании паролей должны быть учтены при администрировании информационных ресурсов сторонней организацией (аутсорсинг). Администраторские пароли должны храниться согласно требованиям настоящей Инструкции у ответственного за безопасность информации.
-
Требования к идентификаторам и обращению с ними.
В ОГПОБУ «Политехнический техникум» для идентификации применяются логин (имя пользователя) и средства усиленной идентификации и аутентификации (программные, программно-аппаратные), в том числе электронные персональные идентификаторы (типа ________________________________, и т.п.).
При использовании средств усиленной идентификации и аутентификации в АС, предназначенных для обработки информации ограниченного доступа, программное обеспечение идентификации и аутентификации и электронные персональные идентификаторы должны быть сертифицированы в системе сертификации ФСТЭК России.
Структура идентификаторов определяется возможностями и требованиями программного и (или) программно-аппаратного обеспечения электронных персональных идентификаторов и средств аутентификации применяемых операционных систем и приложений.
При использовании для генерации паролей программного и (или) программно-аппаратного обеспечения электронных персональных идентификаторов структура паролей определяется его возможностями.
При использовании электронные персональные идентификаторы для хранения паролей обязательно выполнение требований к первичным и постоянным паролям.
PIN-код электронного персонального идентификатора устанавливается (изменяется) его пользователем. Пользователь обязан сохранять действующий РIN - код используемого электронного персонального идентификатора в тайне.
PIN-код электронного персонального идентификатора должен соответствовать требованиям стойкости, рекомендованным эксплуатационной документацией на устройство.
Электронные персональные идентификаторы учитываются и выдаются работникам ОГПОБУ «Политехнический техникум» по журналу учета (Приложение 3).
Пользователи электронных персональных идентификаторов обязаны обеспечивать их сохранность и исключать возможность неконтролируемого их использования.
-
Порядок смены паролей и идентификаторов при изменениях в организационно-штатной структуре ОГПОБУ «Политехнический техникум» (кадровые перестановки, увольнение).
При прекращении трудового договора с работником ОГПОБУ «Политехнический техникум» все созданные для этого работника учетные записи (пользовательское имя) во всех АС и информационных ресурсах подлежат блокированию не позднее, чем в день увольнения работника. Полное удаление учетных записей производится в течении 5 рабочих дней со дня увольнения работника. Основанием для блокирования и последующего удаления учетных записей служащего является заявка, представленная непосредственным руководителем увольняемого работника не позднее, чем за 3 рабочих дня до дня его увольнения.
При проведении организационно-штатных мероприятий (кадровые перестановки) непосредственный руководитель структурного подразделения обязан представить ответственному за безопасность информации заявку на изменение в правах доступа.
Формы заявок, сроки и порядок их отработки определяются установленными в ОГПОБУ «Политехнический техникум» правилами разрешительной системе допуска пользователей (обслуживающего персонала) к информационным ресурсам и автоматизированным системам, а также должностным инструкциям ответственным исполнителям.
-
Порядок действий при компрометации идентификаторов и паролей.
Под компрометацией понимается: утрата пароля и (или) идентификатора, разглашение пароля или PIN-кода идентификатора (явная компрометация), или иная ситуация, которая дает основание для предположения о нарушении конфиденциальности паролей, идентификаторов или PIN-кода идентификатора (неявная компрометация).
При выявлении факта утраты пароля, разглашения пароля, PIN-кода идентификатора, самого идентификатора работники ОГПОБУ «Политехнический техникум» обязаны незамедлительно сообщить о данных фактах своему непосредственному руководителю и ответственному за парольную защиту.
В случае выявления факта компрометации идентификаторов и паролей пользователя ответственный за безопасность информации обязан немедленно заблокировать учетную запись данного пользователя.
При подозрении на компрометацию пользовательского пароля незамедлительно производится внеплановая смена пароля для этого пользователя.
При подозрении на компрометацию любого из администраторских паролей и идентификаторов и в случае выявления факта компрометации администраторских идентификаторов и паролей незамедлительно производится внеплановая смена всех администраторских паролей.
При явной компрометации проводится служебное расследование.
Расследование факта компрометации проводится комиссией, назначаемой приказом директора. В состав комиссии в обязательном порядке включается ответственный за безопасность информации, работник, обнаруживший факт компрометации, непосредственный руководитель работника, допустившего факт компрометации и заместитель директора. При необходимости в состав комиссии могут включаться другие работники ОГПОБУ «Политехнический техникум».
Результаты работы комиссии оформляются актом. Акт подлежит утверждению директором.
В процессе работы комиссии обязательными для установления являются:
дата и время компрометации;
ФИО, должность и подразделение работника, допустившего факт компрометации;
уровень критичности компрометации;
обстоятельства, способствовавшие совершению компрометации;
информационные ресурсы, затронутые компрометацией;
характер и размер реального и потенциального ущерба.
В течение 5 (пяти) рабочих дней с момента назначения начала работы комиссии у работника, допустившего факт компрометации пароля, запрашивается объяснительная записка (путем письменного запроса на имя непосредственного руководителя данного работника). Объяснительная записка должна быть представлена комиссии в течение 3 (трех) рабочих дней с момента поступления запроса. В случае отказа предоставить объяснительную записку, данный факт отражается в акте.
Уничтожение актов на уничтожение материалов расследования фактов компрометации осуществляется в соответствии с установленными требованиями по делопроизводству и номенклатурой дел.
Права и обязанности ответственного за безопасность информации и пользователей автоматизированных систем
Основные задачи ответственного за безопасность информации:
организация установки средств идентификации и аутентификации (если это обусловлено требованиями действующего законодательства и внутренними организационными документами ОГПОБУ «Политехнический техникум» в области защиты информации);
организация парольной защиты во всех автоматизированных системах и информационных ресурсах ОГПОБУ «Политехнический техникум»;
формирование паролей и PIN-кодов электронных персональных идентификаторов в соответствии с требованиями настоящей Инструкции;
учет и выдача первичных паролей, и электронных персональных идентификаторов и PIN-кодов к ним;
осуществление контроля за состоянием системы парольной защиты информации в ОГПОБУ «Политехнический техникум».
Ответственный за безопасность информации имеет право:
вносить предложения по совершенствованию системы парольной защиты информации в ОГПОБУ «Политехнический техникум»;
принимать участие в планировании мероприятий по парольной защите информации в ОГПОБУ «Политехнический техникум» и планировании оснащения средствами идентификации и аутентификации;
осуществлять контроль состояния средств идентификации и аутентификации в структурных подразделениях ОГПОБУ «Политехнический техникум»;
проводить служебные проверки по фактам компрометации;
оказывать помощь в решении проблем, возникающих при эксплуатации средств идентификации и аутентификации.
Обязанности в части парольной защиты информации должны быть отражены в должностной инструкции (регламенте) ответственного за безопасность информации.
Обязанности ответственного за безопасность информации могут быть возложены на следующие должностные лица ОГПОБУ «Политехнический техникум»:
администраторы АС;
администраторы баз данных;
администраторы безопасности АС.
Ответственными за безопасность информации в ОГПОБУ «Политехнический техникум» не могут быть должностные лица сторонних организаций.
Количество ответственных за безопасность информации не может составлять менее двух человек.
Работникам ОГПОБУ «Политехнический техникум» в своей работе запрещается:
Сообщать кому либо свой личный пароль и PIN-код к электронному персональному идентификатору;
передавать кому либо выданный электронный персональный идентификатор;
осуществлять вход в операционные системы автоматизированных систем и в информационные ресурсы ОГПОБУ «Политехнический техникум» под чужими идентификаторами и паролями;
отключать средства идентификации и аутентификации.
В случае появления подозрений на факт компрометации пароля, а также в случае выявления инцидентов (фактов и т.п.), связанных со сбоями в работе средств идентификации и аутентификации, работники ОГПОБУ «Политехнический техникум» обязаны немедленно проинформировать об этом ответственного за безопасность информации.
Обязанности и ответственность должностных лиц в рамках системы парольной защиты информации
Нарушение требований по защите информации (в том числе антивирусной защиты) влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Приложение 1
к Инструкции
Форма журнала учета паролей
№ п/п
|
ФИО владельца (работника)
|
Должность
|
Логин (имя пользователя)
|
Дата генерации пароля
|
ФИО, выдавшего пароль
|
Первичный пароль
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 2
к Инструкции
Форма карточки паролей
Карточка № _____
на период с ___.___.20__г. по ___.___.20__г.
ФИО пользователя
Должность пользователя (полностью)
Идентификатор
ресурса
|
Идентификатор пользователя (Имя Пользователя)
|
Аутентификатор
пользователя
(пароль)
|
(имя информационного ресурса/наименование автоматизированной системы)
Образец: АС «Кадровая служба»
|
Английские буквы
|
12Fns*92
|
Выдал: ФИО ответственного за парольную защиту _______________
«___»_________ 20___ г. (дата генерации пароля) роспись
ВНИМАНИЕ!
Указанный пароль является временным, после первичного доступа к ресурсу пароль необходимо сменить на постоянный. Пользователь обязан сохранять действующий пароль в тайне. В случае компрометации пароля (утеря, кража, передача 3-му лицу) пользователь обязан немедленно сообщить об этом ответственному за парольную защиту
по тел. (_____) ___________
Парольную карточку № _____ получил,
с обязательством ознакомлен ________________ ФИО пользователя
(дата получения парольной карточки)
Приложение 3
к Инструкции
Форма журнала учета электронных персональных идентификаторов
№ п/п
(Уч. №)
|
Тип идентификатора
|
Заводской номер
|
Дата постановки на учет
|
Дата выдачи
|
Отметка о получении (ФИО и роспись
работника, получающего идентификатор)
|
Отметка о выдаче (ФИО и роспись
работника, ответственного за учет)
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
1.
|
eToken
|
|
|
|
|
|
2.
|
RuToken
|
|
|
|
|
|
3.
|
iButton
|
|
|
|
|
|
Дата приема (возврата)
|
Отметка о возврате (ФИО и роспись
работника, получившего идентификатор)
|
Отметка о получении (ФИО и роспись
работника, ответственного за учет)
|
Отметка об уничтожении (номер и дата акта об уничтожении идентификатора)
|
Примечание
|
8
|
9
|
10
|
11
|
12
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
