РАСПОРЯЖЕНИЕ от 4 августа 2016года №68-р
КУРГАНСКАЯ ОБЛАСТЬ
ВАРГАШИНСКИЙ РАЙОН
МОСТОВСКОЙ СЕЛЬСОВЕТ
АДМИНИСТРАЦИЯ МОСТОВСКОГО СЕЛЬСОВЕТА
РАСПОРЯЖЕНИЕ
от 4 августа 2016года №68-р
с.Мостовское
Об утверждении инструкции по организации парольной защиты
в информационной системе
Администрации Мостовского сельсовета
В соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,приказом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2013 года № 17 «Об утверждении требований
о защите информации, не составляющей государственную тайну, содержащейся
в государственных информационных системах», Администрация Мостовского сельсовета ОБЯЗЫВАЕТ:
1. Утвердить инструкцию по организации парольной защиты в информационной системе Администрации Мостовского сельсовета, согласно приложению к настоящему распоряжению.
2. Контроль за выполнением настоящего распоряжения оставляю за собой.
Глава Мостовского сельсовета С.Л.Бородина
Приложение к распоряжению
Администрации Мостовского сельсовета
от 4 августа 2016года № 68
«Об утверждении инструкции по
организации парольной защиты
в информационной системе
Администрации Мостовского сельсовета»
Инструкция
по организации парольной защиты в информационной системе Администрации Мостовского сельсовета
I. Общие положения
1. Настоящаяинструкция разработана в соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказомФедеральнойслужбы по техническому и экспортному контролю России от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», а также другими нормативными правовыми актами
по защите информации, и регламентирует процессы генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных (далее – ИСПДн)Администрации Мостовского сельсовета(далее – Администрация), а также контроль над действиями пользователей системы при работе с паролями.
II. правила формирования паролей
3. Личные пароли пользователей ИСПДн Администрации (далее – пользователей) должны генерироваться и распределяться централизованно либо выбираться пользователями информационной системы самостоятельно с учетом следующих требований:
- длина пароля должна быть не менее 6 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя имя пользователя, легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т.д.), последовательности символов и знаков (111, qwerty, абвгд и т.д.), общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетаний букв и знаков, которые можно угадать, основываясь на информации о пользователе;
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в шести позициях.
4. Пользователям допускается использовать пароли, составленные из первых букв слов запоминающихся высказываний в разном регистре, смешанные в произвольном порядке со специальными символами (например Кожзгсф7!).
5. В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на администратора безопасности ИСПДн.
6. Для обеспечения возможности использования имен и паролей пользователей в их отсутствие (например, в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.), пользователи обязаны хранить пароли в запечатанном конверте или опечатанном пенале. Опечатанные конверты (пеналы) с паролями пользователей должны храниться в опечатанном сейфе, к которому исключен доступ других пользователейи посторонних лиц. Для опечатывания конвертов (пеналов) должна применяться печатьдля документов Администрации Мостовского сельсовета. Все конверты (пеналы) с паролями в обязательном порядке фиксируются в «Журнале учета паролей пользователей…».
III. ввод пароля
7. При вводе пароля пользователю необходимо исключить произнесение его вслух, возможность его просмотра посторонними лицами и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т.п.).
8. При неверном вводе пароля более 5 раз, учетная запись пользователя должна блокироваться не менее чем на 3 минуты и не более чем на 15 минут.
IV. ПОРЯДОК СМЕНЫ ЛИЧНЫХ ПАРОЛЕЙ
9. Смена паролей должна проводиться регулярно, не реже одного раза в 6 месяцев, самостоятельно каждым пользователем.
В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т.п.) должно производиться немедленное удаление его учетной записи сразу после окончания последнего сеанса работы данного пользователя с системой.
10. Срочная (внеплановая) полная смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) ответственного за обеспечение безопасности персональных данных.
12. Временный пароль, заданный администратором безопасности ИСПДн при регистрации нового пользователя, должен действовать в течение ограниченного срока времени. Пользователь должен изменить временный пароль при первом входе в систему.
V. хранение пароля
13. Запрещается записывать пароли на бумаге, в файле, электронной записной книжке, мобильном телефоне и любых других предметах и носителях информации.
14. Запрещается сообщать свой пароль полностью или частично другим пользователям, запрещается спрашивать или подсматривать пароль других пользователей.
15. Запрещается регистрировать других пользователей в ИСПДн со своим личным паролем, запрещается входить в ИСПДн под учетной записью и паролем другого пользователя.
VI. действия В СЛУЧАЕ УТЕРИ И КОМПРОМЕТАЦИИ ПАРОЛЯ
16. В случае утери или компрометации (разглашения, утраты) или подозрения в компрометации пароля пользователя должна быть немедленно проведена внеплановая процедура смены пароля.
VII. Ответственность
17. Каждый пользователь ИСПДн несет персональную ответственность за соблюдение требований настоящей Инструкции и за все действия, совершенные от имени его учетной записи в ИСПДн, если с его стороны не было предпринято необходимых действий для предотвращения компрометации пароля его учетной записи.
19. За разглашение персональных данных и нарушение порядка работы со средствами ИСПДн, обрабатывающими персональные данные, работники могут быть привлечены к гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности в установленном законом порядке.
КУРГАНСКАЯ ОБЛАСТЬ
ВАРГАШИНСКИЙ РАЙОН
МОСТОВСКОЙ СЕЛЬСОВЕТ
АДМИНИСТРАЦИЯ МОСТОВСКОГО СЕЛЬСОВЕТА
РАСПОРЯЖЕНИЕ
от 4 августа 2016года №68-р
с.Мостовское
Об утверждении инструкции по организации парольной защиты
в информационной системе
Администрации Мостовского сельсовета
В соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,приказом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2013 года № 17 «Об утверждении требований
о защите информации, не составляющей государственную тайну, содержащейся
в государственных информационных системах», Администрация Мостовского сельсовета ОБЯЗЫВАЕТ:
1. Утвердить инструкцию по организации парольной защиты в информационной системе Администрации Мостовского сельсовета, согласно приложению к настоящему распоряжению.
2. Контроль за выполнением настоящего распоряжения оставляю за собой.
Глава Мостовского сельсовета С.Л.Бородина
Приложение к распоряжению
Администрации Мостовского сельсовета
от 4 августа 2016года № 68
«Об утверждении инструкции по
организации парольной защиты
в информационной системе
Администрации Мостовского сельсовета»
Инструкция
по организации парольной защиты в информационной системе Администрации Мостовского сельсовета
I. Общие положения
1. Настоящаяинструкция разработана в соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказомФедеральнойслужбы по техническому и экспортному контролю России от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», а также другими нормативными правовыми актами
по защите информации, и регламентирует процессы генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных (далее – ИСПДн)Администрации Мостовского сельсовета(далее – Администрация), а также контроль над действиями пользователей системы при работе с паролями.
II. правила формирования паролей
3. Личные пароли пользователей ИСПДн Администрации (далее – пользователей) должны генерироваться и распределяться централизованно либо выбираться пользователями информационной системы самостоятельно с учетом следующих требований:
- длина пароля должна быть не менее 6 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя имя пользователя, легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т.д.), последовательности символов и знаков (111, qwerty, абвгд и т.д.), общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетаний букв и знаков, которые можно угадать, основываясь на информации о пользователе;
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в шести позициях.
4. Пользователям допускается использовать пароли, составленные из первых букв слов запоминающихся высказываний в разном регистре, смешанные в произвольном порядке со специальными символами (например Кожзгсф7!).
5. В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на администратора безопасности ИСПДн.
6. Для обеспечения возможности использования имен и паролей пользователей в их отсутствие (например, в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.), пользователи обязаны хранить пароли в запечатанном конверте или опечатанном пенале. Опечатанные конверты (пеналы) с паролями пользователей должны храниться в опечатанном сейфе, к которому исключен доступ других пользователейи посторонних лиц. Для опечатывания конвертов (пеналов) должна применяться печатьдля документов Администрации Мостовского сельсовета. Все конверты (пеналы) с паролями в обязательном порядке фиксируются в «Журнале учета паролей пользователей…».
III. ввод пароля
7. При вводе пароля пользователю необходимо исключить произнесение его вслух, возможность его просмотра посторонними лицами и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т.п.).
8. При неверном вводе пароля более 5 раз, учетная запись пользователя должна блокироваться не менее чем на 3 минуты и не более чем на 15 минут.
IV. ПОРЯДОК СМЕНЫ ЛИЧНЫХ ПАРОЛЕЙ
9. Смена паролей должна проводиться регулярно, не реже одного раза в 6 месяцев, самостоятельно каждым пользователем.
В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т.п.) должно производиться немедленное удаление его учетной записи сразу после окончания последнего сеанса работы данного пользователя с системой.
10. Срочная (внеплановая) полная смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) ответственного за обеспечение безопасности персональных данных.
12. Временный пароль, заданный администратором безопасности ИСПДн при регистрации нового пользователя, должен действовать в течение ограниченного срока времени. Пользователь должен изменить временный пароль при первом входе в систему.
V. хранение пароля
13. Запрещается записывать пароли на бумаге, в файле, электронной записной книжке, мобильном телефоне и любых других предметах и носителях информации.
14. Запрещается сообщать свой пароль полностью или частично другим пользователям, запрещается спрашивать или подсматривать пароль других пользователей.
15. Запрещается регистрировать других пользователей в ИСПДн со своим личным паролем, запрещается входить в ИСПДн под учетной записью и паролем другого пользователя.
VI. действия В СЛУЧАЕ УТЕРИ И КОМПРОМЕТАЦИИ ПАРОЛЯ
16. В случае утери или компрометации (разглашения, утраты) или подозрения в компрометации пароля пользователя должна быть немедленно проведена внеплановая процедура смены пароля.
VII. Ответственность
17. Каждый пользователь ИСПДн несет персональную ответственность за соблюдение требований настоящей Инструкции и за все действия, совершенные от имени его учетной записи в ИСПДн, если с его стороны не было предпринято необходимых действий для предотвращения компрометации пароля его учетной записи.
19. За разглашение персональных данных и нарушение порядка работы со средствами ИСПДн, обрабатывающими персональные данные, работники могут быть привлечены к гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности в установленном законом порядке.