Положение по организации парольной защиты

Данное положение регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в локальной сети ТИУиЭ (далее ЛС), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ЛС и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на сотрудников ИТ отдела - администраторов средств защиты, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.
2. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:
   • длина пароля должна быть не менее 8 символов;
   • в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
   • пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, даты рождения, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
   • при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;
   • личный пароль пользователь не имеет права сообщать никому.
3. При возникновении нештатных ситуаций, форс-мажорных обстоятельств и технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие, такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте передавать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты с паролями исполнителей должны храниться в сейфе.
4. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в 40 дней.
5. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться уполномоченными сотрудниками ИТ отдела – администраторами соответствующих средств защиты немедленно после окончания последнего сеанса работы данного пользователя с системой.
6. В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п. 5 настоящего Положения.
7. Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за информационную безопасность или руководителя подразделения в опечатанном личной печатью пенале (возможно вместе с персональными ключевыми дискетами и идентификатором Touch Memory).