Bazaprogram.ru

Новости из мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Требования к парольной защите

Требования к парольной защите

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Обзор документа

Приказ Федеральной службы по интеллектуальной собственности от 14 июля 2015 г. N 97 «Об утверждении Положения по организации парольной защиты в Федеральной службе по интеллектуальной собственности»

В целях исполнения требований Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и в соответствии со «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации» (СТР-К), утвержденными приказом Государственной технической комиссии при Президенте Российской Федерации от 30 августа 2002 г. N 282, приказываю:

1. Утвердить прилагаемое Положение по организации парольной защиты в Федеральной службе по интеллектуальной собственности.

2. Директору ФИПС (О.И. Стрелков) в соответствии с указанным Положением обеспечить создание и включение в доменах fips и tz политики паролей в срок до 1 сентября 2015 г.

3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Роспатента М.В. Жамойдика.

Врио руководителяЛ.Л. Кирий

Положение по организации парольной защиты в Федеральной службе по интеллектуальной собственности
(утв. приказом Федеральной службы по интеллектуальной собственности от 14 июля 2015 г. N 97)

I. Общие положения

1.1. Настоящее Положение регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в локальной вычислительной сети Федеральной службы по интеллектуальной собственности, меры обеспечения безопасности при использовании паролей, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

1.2. В настоящем Положении используются следующие термины и определения:

Локальная вычислительная сеть (ЛВС) — это комплекс оборудования и программного обеспечения, обеспечивающий передачу, хранение и обработку информации;

Автоматизированное рабочее место (АРМ) — это комплекс средств вычислительной техники и программного обеспечения, располагающийся непосредственно на рабочем месте сотрудника и предназначенный для автоматизации его работы в рамках специальности;

Информационная безопасность (ИБ) — обеспечение защищенности информации (ее конфиденциальности, целостности, доступности) от широкого спектра угроз;

Несанкционированный доступ (НСД) — доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа;

Учетная запись — информация о сетевом пользователе: имя пользователя, его пароль, права доступа к ресурсам и привилегии при работе в системе. Учетная запись может содержать дополнительную информацию (адрес электронной почты, телефон и т.п.);

Принцип минимальных привилегий — принцип, согласно которому каждому субъекту системы предоставляется минимальный набор полномочий (или минимальный допуск), необходимый для выполнения вверенных задач. Применение этого принципа ограничивает ущерб, наносимый в случае случайного, ошибочного или несанкционированного использования;

Компрометация — утрата доверия к тому, что информация недоступна посторонним лицам;

Ключевой носитель — электронный носитель ( флэш-накопитель, компакт-диск и т.п.), на котором находится ключевая информация (сертификаты и т.п.).

1.3. Требования настоящего Положения являются неотъемлемой частью комплекса мер безопасности и защиты информации в Роспатенте.

1.4. Требования настоящего Положения распространяются на всех работников подразделений, использующих в работе средства вычислительной техники, и должны применяться для всех средств вычислительной техники, эксплуатируемой в Роспатенте.

1.5. Организационное обеспечение процессов генерации, использования, смены и прекращения действия паролей и контроль за действиями исполнителей и обслуживающего персонала ЛВС при работе с паролями возлагается на Отдел организационной и специальной деятельности Роспатента (далее — отдел организационной и специальной деятельности). Техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей возлагается на администратора локальной вычислительной сети (далее — администратора ЛВС) ФГБУ ФИПС.

1.6. Ознакомление всех работников Роспатента, использующих средства вычислительной техники, с требованиями настоящего Положения проводит Отдел организационной и специальной деятельности. При ознакомлении с настоящим Положением внимание работников акцентируется на предупреждении их о персональной ответственности за разглашение парольной информации.

II. Общие требования к паролям

2.1. Пароли доступа к автоматизированным рабочим местам (далее — АРМ) первоначально формируются администратором ЛВС, а в дальнейшем выбираются пользователями самостоятельно, но с учетом требований, изложенных ниже.

2.2. Личные пароли пользователей АРМ Роспатента должны выбираться с учетом следующих требований:

— длина пароля должна быть не менее 8 символов;

— в числе символов пароля обязательно должны присутствовать прописные буквы английского алфавита от А до Z, строчные буквы английского алфавита от а до z, десятичные цифры (от 0 до 10), неалфавитные символы (@, #, $, &, *, % и т.п.). Исключение составляют АРМ Роспатента, в которых использование подобных спецсимволов недопустимо;

— пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования рабочих станций и т.д.), а также общепринятые сокращения и термины (qwerty, pa$$w0rd и т.п.);

— при смене пароля новый пароль должен отличаться от старого не менее, чем двумя символами.

III. Безопасность локальных учетных записей

3.1. Локальные учетные записи компьютеров (Administrator, Guest) предназначены для служебного использования администратором ЛВС при настройке систем и не предназначены для повседневной работы.

IV. Безопасность доменных учетных записей

4.1. Пользователь несет персональную ответственность за сохранение в тайне личного пароля. Запрещается сообщать пароль другим лицам, а также хранить записанный пароль в общедоступных местах.

4.2. В случае производственной необходимости (командировка, отпуск и т.п.), при проведении работ, требующих знания пароля пользователя, допускается раскрытие значений своего пароля начальникам подразделений. По окончании производственных или проверочных работ работники самостоятельно производят немедленную смену значений «раскрытых» паролей.

4.3. В случае возникновении нештатных ситуаций, форс-мажорных обстоятельств, а также технологической необходимости использования имен и паролей работников (в их отсутствие) допускается изменение паролей администратором ЛВС. В подобных случаях, сотрудники, чьи пароли были изменены, обязаны сразу же после выяснения факта смены своих паролей, создать их новые значения.

4.4. Пароли учетных записей пользователей АРМ должны соответствовать требованиям пункта 2.2 настоящего Положения.

Читать еще:  Лучший смартфон с защитой ip68

4.5. Полная плановая смена паролей пользователей должна проводиться в срок, не позднее 42 дней после установления предыдущего пароля. Плановая смена должна предусматривать информирование пользователя о необходимости сменить пароль и возможность смены пароля без обращения к администратору ЛВС.

4.6. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение и т.п.) должна производиться администратором ЛВС немедленно после окончания последнего сеанса работы данного пользователя с системой.

4.7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на работу в другое подразделение внутри Роспатента и другие обстоятельства) администратора ЛВС и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой.

4.8. В случае длительного отсутствия пользователя АРМ (командировка, болезнь и т.п.) его учетная запись блокируется, и, в случае необходимости, изменяются права доступа других пользователей в отношении ресурсов данного пользователя.

4.9. В случае компрометации личного пароля пользователя АРМ либо подозрении на компрометацию должны быть немедленно предприняты меры по внеплановой смене личного пароля самим пользователем с немедленным информированием Отдела организационной и специальной деятельности.

4.10. Смена забытого пользовательского пароля производится администратором ЛВС на основании сообщения пользователя с обязательной установкой параметра «Требовать смену пароля при следующем входе в систему».

4.11. Для предотвращения угадывания паролей администратор ЛВС обязан настроить механизм блокировки учетной записи на 20 минут при пятикратном неправильном вводе пароля.

4.12. При возникновении вопросов, связанных с использованием доменных учетных записей, пользователь АРМ обязан обратиться к администратору ЛВС.

V. Временные учетные записи

5.1. Для предоставления временного доступа (для лиц, не являющихся сотрудниками Роспатента, для сотрудников, которым необходимо получить временный доступ) необходимо использовать процедуру временных учетных записей.

5.2. Временная учетная запись — учетная запись, имеющая ограничение по времени действия, имеющая ограниченные права по доступу. Для временных учетных записей проводится подробное протоколирование их использования. Процедура получения временных учетных записей состоит в следующем:

— сотрудник Роспатента через руководителя своего подразделения либо лицо, не являющееся сотрудником Роспатента, через доверенное лицо оформляет соответствующим образом заявку, указав в ней, что требуемая учетная запись временная, определив временные рамки ее использования;

— заявка направляется в Отдел организационной и специальной деятельности для рассмотрения;

— временная учетная запись создается администратором ЛВС;

— пользователь, получивший временную учетную запись, информируется об ограничениях, связанных с ее использованием.

VI. Контроль

6.1. Повседневный контроль за соблюдением требований настоящего Положения заключается в контроле процессов использования и изменения учетных записей, процессов доступа к ресурсам, процессов изменения учетных записей Отделом организационной и специальной деятельности.

6.2. Отдел организационной и специальной деятельности проводит ежеквартальный выборочный контроль выполнения работниками Роспатента требований настоящего Положения. О фактах несоответствия качества паролей или условий обеспечения их сохранности Отдел организационной и специальной деятельности сообщает заместителю руководителя Роспатента в форме служебной записки.

6.3. Контроль за выполнением требований настоящего Положения возлагается на Отдел организационной и специальной деятельности.

VII. Ответственность

7.1. Пользователи АРМ Роспатента несут персональную ответственность за несоблюдение требований по парольной защите.

7.2. Администратор ЛВС, сотрудники Отдела организационной и специальной деятельности несут ответственность за компрометацию и нецелевое использование учетных записей.

7.3. Форма и степень ответственности определяются исходя из вида и размера ущерба, действиями либо бездействием соответствующего пользователя.

Обзор документа

Регламентированы процессы генерации, смены и прекращения действия паролей в локальной вычислительной сети Роспатента.

Приведены требования к паролям. Определены меры обеспечения безопасности при их использовании. В частности, пользователь несет персональную ответственность за сохранение в тайне личного пароля. Запрещено сообщать пароль другим лицам, а также хранить записанный пароль в общедоступных местах.

Прописан порядок осуществления контроля за действиями пользователей и обслуживающего персонала сети при работе с паролями.

Требования к парольной защите

Инструкция по организации парольной защиты

1. Общие положения

1.1 Настоящая инструкция устанавливает порядок и правила генерации, использования паролей в информационных системах организации.

1.2 Требования настоящей инструкции распространяются на всех сотрудников организации.

1.3 Бесконтрольность в определении и использовании паролей может повлечь риск несанкционированного доступа к информации организации, повлечь мошеннические и другие действия информационных системах, которые могут нанести материальный вред и ущерб репутации организации.

2. Требования к паролям

2.1 Пароли не должны основываться на каком-либо одном слове, выданном идентификаторе, имени, кличке, паспортных данных, номерах страховок и т.д.

2.2 Пароли не должны основываться на типовых шаблонах и идущих подряд на клавиатуре или в алфавите символов, например, таких, как: qwerty, 1234567, abcdefgh и т.д.

2.3 Пароли должны содержать символы как минимум из трех следующих групп:

  • Строчные латинские буквы: abcd. xyz;
  • Прописные латинские буквы: ABCD. XYZ;
  • Цифры: 123. 90;
  • Специальные символы: !%() _+ и т.д.

2.4 Требования к длине пароля:

  • Для обычных пользователей ‑ не менее 8 символов;
  • Для администраторов (локальногодоменного) ‑ не менее 15 символов;
  • Для сервисных идентификаторов, разделяемых ключей (shared keys) ‑ не менее 14 символов;
  • Для SNMP Community Strings — не менее 10 символов.

2.5 Периодичность смены пароля:

  • Административные – каждые 60 дней;
  • Пользовательские– каждые 90 дней;
  • Сервисные – не реже двух раз в год;
  • Shared keys SNMP Community Strings — не реже одного раза в год.

2.6 Пароли не должны храниться и передаваться в незашифрованном виде по публичным сетям (локальная вычислительная сеть, интернет, электронная почта).

2.7 . В ходе работы не должны использоваться встроенные идентификаторы. Для них должны быть назначены пароли, отличные от установленных производителем. К ним предъявляются требования, аналогичные требованиям к сервисным паролям.

2.8 Пароли нельзя записывать на бумагу, в память телефона и т.д. Нельзя сообщать, передавать кому-либо пароль.

2.9 Хеши паролей должны проверяться в ходе внутреннего аудита администратором информационной безопасности не реже двух раз в год с помощью типовых атак на подбор.

Возможна также проверка соответствия пароля требованиям данной инструкции в присутствии пользователя: пользователь называет свой пароль, а проверяющий осуществляет ввод пароля и его проверку. После такой проверки требуется обязательная и немедленная смена пароля.

Читать еще:  Мощная утилита для удаления вирусов

2.10 Пароли сервисных идентификаторов должны входить в процедуру управления паролями УА, включающую хранение их в защищенном месте, разделение секрета, периодическую смену (1 раз в год).

3. Требования к настройкам безопасности информационных систем

3.1 Учетная запись должна блокироваться после 5 неверных попыток доступа не менее, чем на 15 минут.

3.2 Запрещается использовать функции «Запомнить пароль» в любом программном обеспечении.

4. Требования к паролям сервисных учетных записей

4.1 Пароли для сервисных учетных записей должны формироваться ответственным за сервисную учетную запись и администратором информационной безопасности.

4.2 Длина каждой половины пароля должна быть не меньше 7 символов, сложность пароля указана в п.2.3. Перед запечатыванием конверта, обязательно проверить правильность смены пароля в информационной системе, делая соответствующую запись в журнале.

4.3 Пароль должен меняться не реже двух раз в год, или немедленно в случае увольнения или смены полномочий одного или двух ответственных за формирование пароля.

4.4 Каждая половина пароля сохраняется в отдельном конверте, исключающем возможность увидеть пароль через конверт, например, путем просвечивания конверта ярким светом. Конверты хранятся в сейфе начальника УА.

4.5 Каждая генерациясменавскрытие пароля или конверта должна обязательно формироваться соответствующей записью в журнале.

4.6 Администратор информационной безопасности, должен ежемесячно проверять наличие конвертов, целостность.

4.7 Вскрытие конвертов может произвести:

  • ответственный за информационную систему;
  • администратор информационной безопасности;
  • Начальник УА

4.8 Конверты вскрываются одним лицом, с последующей регистрацией в журнале, при этом обязательно информирование администратора информационной безопасности с использованием почтовой рассылки.

4.9 В случае вскрытияиспользования конвертов, по окончании выполнения работ необходимо произвести работы по созданию нового пароля с п.4.1

4.10 Администраторы оказывают помощь и содействия администратору информационной безопасности при проведении аудитов, управление сервисными, административными паролями, shared keys и SNMP Community Strings, включая генерацию паролей, их изменение и хранение в безопасном месте, а также настройку информационных систем для соблюдения данных требований.

4.11 Администратор по информационной безопасности несёт осуществляет аудит требований данной политики, разрабатывает процедур управления идентификаторами.

4.12 Пользователи информационных ресурсов обязаны соблюдать требования данной Инструкции при выборе пароля и работе с ним.

5. Ответственность

5.1 Виновные в нарушении условий настоящей Инструкции несут ответственность в соответствии с законодательством Российской Федерации, трудовым договором, должностной инструкцией.

6. Заключительные положения

6.1 Общий текущий контроль исполнения настоящей инструкции осуществляет АИБ.

6.2 АИБ поддерживает настоящую инструкцию в актуальном состоянии.

6.3 Изменения и дополнения в настоящую инструкцию утверждаются директором организации.

6.4 Инструкция вступает в силу с момента утверждения директором организации.

Скачать ZIP файл (17633)

Пригодились документы — поставь «лайк» или поддержи сайт материально:

Инструкция по организации парольной защиты

Данная инструкция призвана регламентировать организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на сотрудников подразделения обеспечения безопасности информации (ПОБИ) — администраторов средств защиты, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.

Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:

  • длина пароля должна быть не менее установленной (обычно 6-8 символов);
  • в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
  • пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
  • при смене пароля новое значение должно отличаться от предыдущего не менее чем в заданном числе (например в 6-ти) позициях;
  • личный пароль пользователь не имеет права сообщать никому.

Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

В случае, если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников ПОБИ. Для генерации «стойких» значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самих уполномоченных сотрудников ПОБИ, а также ответственных за информационную безопасность в подразделениях с паролями других сотрудников подразделений организации (исполнителей).

При наличии технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие (например, в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.), такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами своих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для опечатывания конвертов (пеналов) должны применяться личные печати владельцев паролей (при их наличии у исполнителей), либо печать уполномоченного представителя службы обеспечения безопасности информации (ПОБИ).

Полная плановая смена паролей пользователей должна проводиться регулярно, например, не реже одного раза в месяц.

Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу внутри организации и т.п.) должна производиться администраторами соответствующих средств защиты в соответствии с «Инструкцией по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы» немедленно после окончания последнего сеанса работы данного пользователя с системой.

Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) администраторов средств защиты и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой подсистем АС.

Читать еще:  Защита корпоративных данных

В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры по внеплановой смене паролей (в зависимости от полномочий владельца скомпрометированного пароля).

Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за информационную безопасность или руководителя подразделения в опечатанном личной печатью пенале (возможно вместе с персональными ключевыми дискетами и идентификатором Touch Memory ).

Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за информационную безопасность в подразделениях (руководителей подразделений), периодический контроль — возлагается на сотрудников ПОБИ — администраторов средств парольной защиты.

Положение о парольной защите

приказом ОАО «Организация»

от ____. ___________ 20__ № _______

Положение о парольной защите

в ОАО «Организация»

Раздел I. Общие положения

1.1. Введение

Для обеспечения конфиденциальности, целостности и доступности информационных активов Общество использует наряду с другими средствами парольную защиту. Парольная защита требует соблюдения ряда правил, изложенных в настоящем Положении.

1.2. Цель

Положение определяет требования Общества к парольной защите информационных систем.

1.3. Область действия

Положение распространяется на всех пользователей и информационные системы (далее – ИС) Общества, использующих парольную защиту.

Раздел II. Термины и определения

Аутентификация – установление того, что пользователь является именно тем, кем он себя объявил путем проверки предъявленного пароля.

Инициализационный пароль – пароль, выдаваемый пользователю для первоначального входа в ИС.

Информационный актив – данные, информация, сведения, обрабатываемые и хранимые в Обществе с помощью ИС.

ИС – в данном случае любая информационная система, для работы с которой необходима аутентификация пользователя.

Компрометация пароля – известность пароля или принципа его формирования посторонним лицам.

Общество – Исполнительная дирекция и филиалы ОАО «Организация».

Пароль – секретный набор символов, используемый для аутентификации пользователя.

Пользователи – администраторы ИС и работники Общества или сторонней организации, которым предоставлен доступ к ИС Общества, а также корпоративный доступ к ресурсам сети Интернет.

СТП – служба технической поддержки, подразделения ИТ.

УИС – Управление информационных систем ОАО «Организация».

Учетная запись – идентификатор пользователя, используемый для доступа к ИС.

Раздел III. Положения

3.1. Каждая учетная запись должна быть защищена паролем.

3.2. Для доступа в ИС пользователю выдается инициализационный пароль, который он обязан сменить при первом входе в ИС.

3.3. Пользователь обязан использовать различные пароли для каждой учетной записи.

3.4. Учетная запись пользователя блокируется после трех неудачных попыток ввода пароля. Разблокировка учетной записи возможна только после обращения пользователя в СТП.

3.5. Пользователь обязан менять пароли для доступа к корпоративным ИС не реже чем раз в 180 календарных дней.

3.6. При выборе пароля пользователь обязан соблюдать следующие требования:

3.6.1. Минимальная длина пароля пользователя составляет не менее 8-ми символов.

3.6.2. Пароль должен состоять из комбинации цифр, букв латинского алфавита верхнего и нижнего регистра.

3.6.3. Новый пароль не должен повторять пять использованных ранее паролей.

3.7. Пользователь обязан применять адекватные меры по защите своих паролей:

3.7.1. Запоминать свои пароли или хранить их таким образом, чтобы они были недоступны другим лицам.

3.7.2. Не передавать свои пароли никому ни под каким предлогом, включая специалистов ИТ, своего руководителя, коллег, родственников или знакомых.

3.7.3. При использовании пароля (например, его вводе) принять необходимые меры, исключающие возможность его компрометации (например, исключить возможность подглядывания вводимого пароля).

3.8. Пользователю запрещено применять пароли, используемые им при аутентификации в ИС Общества, для доступа в не принадлежащие Обществу ИС (например, на веб-сайтах сети Интернет и др.).

3.9. В случае компрометации или подозрения на компрометацию пароля, пользователь обязан информировать об этом СТП и немедленно сменить пароль.

3.10. Пароли встроенных административных учетных записей (например, «root» в ОС UNIX, «Administrator» в MS Windows AD и т.п.) основных ИС, а также пароль локального администратора рабочих станций филиала должны храниться в защищенном месте в опечатанном конверте в несгораемом сейфе. Доступ к этим паролям возможен только с санкции руководителя ИТ-подразделения филиала, или Исполнительной дирекции.

3.11. Учетные записи сотрудников, имеющих членство в группах администраторов, должны иметь пароль, отличный от всех других паролей данного пользователя.

3.12. Специалистам ИТ запрещено хранить пароли пользователей в любом виде, например, в открытом или в виде хеш-функций, а также размещать пароли на ресурсах общего доступа, или пересылать их по электронной почте, за исключением пересылки пользователю инициализированного пароля.

3.13. При использовании SNMP community strings не должны быть значениями по умолчанию и должны отличаться от паролей, используемых для аутентификации в интерактивном режиме.

3.14. Смена паролей административных учетных записей, используемых на серверах и маршрутизирующем оборудовании, а также пароля локального администратора рабочих станций филиала обязательно производится в следующих случаях:

3.14.1. Компрометация, либо подозрение на компрометацию паролей.

3.14.2. Увольнение из Общества лиц, которым в связи с производственной необходимостью были известны пароли.

3.14.3. Расторжение договора с подрядной организацией, сотрудникам которой выдавались пароли для выполнения работ на оборудовании Общества.

3.15. При наступлении случаев, описанных в п. 3.14, создается новый пароль и опечатывается новый конверт.

3.16. ИС Общества должны иметь механизмы проверки паролей на соответствие требованиям положения.

3.17. За нарушение требований настоящего Положения на работника может быть наложено дисциплинарное или административное взыскание.

Раздел IV. Роли и ответственност

4.1.1. Исполняют требования положения и несут ответственность за ее нарушение.

4.1.2. Информируют СТП обо всех ставших им известных случаях нарушения настоящего положения.

4.2.1. Принимает обращения пользователей по вопросам парольной защиты (например, блокировка учетных записей, компрометация пароля, нарушение положения и др.), ведет их учет.

4.2.2. Консультирует пользователей по вопросам использования парольной защиты.

4.2.3. Выдает пользователям инициализационные пароли для входа в ИС.

4.2.4. Отвечает за безопасное хранение паролей встроенных административных учетных записей.

4.2.5. Производит разблокировку учетных записей пользователей.

Раздел V. Исключения

Все исключения из Положения должны быть согласованы в письменном виде с УИС.

Ссылка на основную публикацию
Adblock
detector