Инструкция по организации парольной защиты
Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в АС, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.
1. Организационное и техническое обеспечение процессов генерации, использование и прекращение действия паролей во всех подсистемах АС и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на сотрудников отдела информационных технологий.
2. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями АС самостоятельно с учетом следующих требований:
- длина пароля должна быть не менее 8 символов;
- в числе символов пароля обязательно должны присутствовать латинские буквы и цифры;
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, даты рождения, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;
- личный пароль пользователь не имеет права сообщать никому.
Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены о дисциплинарной ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
3. При наличии технологической необходимости в случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т.п. использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие, сотрудники обязаны сразу же сменить свой пароль.
4. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в 30 дней.
5. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться уполномоченными сотрудниками отдела информационных технологий немедленно после окончания последнего сеанса работы данного пользователя с системой.
6. В случае компрометации личного пароля пользователя АС должны быть немедленно предприняты меры в соответствии с п. 5 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.
7. Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе (возможно вместе с персональными ключевыми дискетами и идентификатором Touch Memory).