stamp

ИНСТРУКЦИЯ по организации парольной защиты в информационной системе персональных данных ОГБУЗ «Инфекционная больница»

Приложение №1 к Инструкции Карточка паролей

 
 

1. Общие положения

1.1. Настоящая Инструкция разработана на основании «Специальных требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденных приказом Гостехкомиссии России от 30.08.2002 и Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119, «Положением об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных ОГБУЗ «Инфекционная больница» и других нормативно-правовых актов регулирующих обработку персональных данных в автоматизированных системах.
1.2. Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных (далее – ИСПДн), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.
1.3. Требования настоящей инструкции являются обязательными для исполнения всеми пользователями ИСПДн, а также другими сотрудниками, использующими в своей работе средства вычислительной техники.
1.4. Весь личный состав должен быть ознакомлены с требованиями Инструкции под роспись.
1.5. Контроль за выполнением требований Инструкции возлагается на ответственного за обеспечение безопасности персональных данных.
1.6. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам защиты информации и не исключает обязательного выполнения их требований.

2. Организация парольной защиты

2.1. Парольная защита применяется для решения следующих задач:
— обеспечение защиты информационных ресурсов информационных систем персональных данных от непреднамеренного воздействия, несанкционированного воздействия, разглашения, утечки, а также хищения, утраты, уничтожения, искажения или подделки за счет специальных воздействий.
— предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок.
— защита информации ограниченного распространения (защита персональных данных).
2.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на ответственного за обеспечение безопасности персональных данных.

3. Требования, предъявляемые к паролю

3.1. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями системы самостоятельно с учетом следующих требований:
— пароль сотрудником выбирается самостоятельно (при самостоятельном выборе пароля пользователем);
— пароль должен знать только его владелец (при самостоятельном выборе пароля пользователем);
— пароль сотрудник вводит собственноручно (при самостоятельном выборе пароля пользователем);
— длина пароля должна быть не менее 6 символов;
— должна быть соблюдена сложность пароля (в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры);
— пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
— при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;
— личный пароль пользователь не имеет права сообщать никому.
3.2. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в 90 дней.
3.3. В случае компрометации личного пароля пользователя ИСПДн должна быть немедленно произведена внеплановая смена пароля в присутствии ответственного за обеспечение безопасности персональных данных.
3.4. Хранение сотрудником значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за обеспечение безопасности персональных данных или начальника отдела в опечатанном личной печатью пенале (возможно вместе с персональными идентификаторами).
3.5. В случае генерировании пароля и его централизованном распределении пароль выдается под роспись в «Карточке паролей». Форма «Карточки паролей» приведена в приложении №1 к Инструкции. «Карточка паролей» должна хранится в сейфе у ответственного за обеспечение безопасности персональных данных.
3.5. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за информационную безопасность (руководителей подразделений), периодический контроль — возлагается на ответственного за обеспечение безопасности персональных данных.

4. Ответственность

4.1. Пароль является служебной тайной, и каждый сотрудник несет ответственность за сохранность в тайне собственного пароля в соответствии с действующим законодательством.
4.2. В случае генерировании пароля и его централизованном распределении ответственность за сохранность пароля несут ответственный за обеспечение безопасности персональных данных и пользователь, которому выдан пароль.