Об утверждении инструкции по организации парольной защиты в информационной системе Администрации сельского поселения Верхнесуерского сельсовета Варгашинского района Курганской области

• 

Подробности

Категория: Персональные данные

 

       КУРГАНСКАЯ ОБЛАСТЬ

ВАРГАШИНСКИЙ РАЙОН

СЕЛЬСКОЕ ПОСЕЛЕНИЕ ВЕРХНЕСУЕРСКИЙ СЕЛЬСОВЕТ

ВАРГАШИНСКОГО РАЙОНА КУРГАНСКОЙ ОБЛАСТИ

АДМИНИСТРАЦИЯ СЕЛЬСКОГО ПОСЕЛЕНИЯ ВЕРХНЕСУЕРСКОГО СЕЛЬСОВЕТА

ВАРГАШИНСКОГО РАЙОНА КУРГАНСКОЙ ОБЛАСТИ

 

 

 

РАСПОРЯЖЕНИЕ

 

от 23 сентября 2021 года № 34-р

с.Верхнесуерское

 

 

Об утверждении инструкции по организации парольной защиты

в информационной системе Администрации сельского поселения Верхнесуерского сельсовета Варгашинского района Курганской области

 

 

        

В соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2013 года № 17 «Об утверждении требований
о защите информации, не составляющей государственную тайну, содержащейся
в государственных информационных системах», Администрация сельского поселения Верхнесуерского сельсовета Варгашинского района Курганской области

  обязывает:

1. Утвердить инструкцию по организации парольной защиты в информационной системе Администрации сельского поселения Верхнесуерского сельсовета Варгашинского района Курганской области, согласно приложению к настоящему распоряжению.

2. Контроль за выполнением настоящего распоряжения оставляю за собой.

 

 

 

Глава сельского поселения

Верхнесуерского сельсовета

Варгашинского района

Курганской области                            _______________   Ю.В.Речкин

 

 

Приложение к  распоряжению

 Администрации сельского поселения Верхнесуерского сельсовета Варгашинского

района Курганской области от 23 сентября 2021

года № 34-р «Об утверждении инструкции по

организации парольной защиты в информационной

системе Администрации сельского поселения

Верхнесуерского сельсовета Варгашинского

района Курганской области»

 

 

 

Инструкция

по организации парольной защиты в информационной системе Администрации сельского поселения Верхнесуерского сельсовета Варгашинского района Курганской области

 

I. Общие положения

1.  Настоящая инструкция разработана в соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», а также другими нормативными правовыми актами
   по защите информации, и регламентирует процессы генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных (далее – ИСПДн) Администрации сельского поселения Верхнесуерского сельсовета Варгашинского района Курганской области (далее – Администрация), а также контроль над действиями пользователей системы при работе с паролями.

II. правила формирования паролей

3. Личные пароли пользователей ИСПДн Администрации (далее – пользователей) должны генерироваться и распределяться централизованно либо выбираться пользователями информационной системы самостоятельно с учетом следующих требований:

         - длина пароля должна быть не менее 6 символов;

         - в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

        - пароль не должен включать в себя имя пользователя, легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т.д.), последовательности символов и знаков (111, qwerty, абвгд и т.д.), общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетаний букв и знаков, которые можно угадать, основываясь на информации о пользователе;

          - при смене пароля новое значение должно отличаться от предыдущего не менее чем в шести позициях.

4. Пользователям допускается использовать пароли, составленные из первых букв слов запоминающихся высказываний в разном регистре, смешанные в произвольном порядке со специальными символами (например Кожзгсф7!).

5. В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на администратора безопасности ИСПДн.

6. Для обеспечения возможности использования имен и паролей пользователей в их отсутствие (например, в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.), пользователи обязаны хранить пароли в запечатанном конверте или опечатанном пенале. Опечатанные конверты (пеналы) с паролями пользователей должны храниться в опечатанном сейфе, к которому исключен доступ других пользователей и посторонних лиц. Для опечатывания конвертов (пеналов) должна применяться печать для документов Администрации сельского поселения Верхнесуерского сельсовета Варгашинского района Курганской. Все конверты (пеналы) с паролями в обязательном порядке фиксируются в «Журнале учета паролей пользователей…».

III. ввод пароля

7. При вводе пароля пользователю необходимо исключить произнесение его вслух, возможность его просмотра посторонними лицами и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т.п.).

8. При неверном вводе пароля более 5 раз, учетная запись пользователя должна блокироваться не менее чем на 3 минуты и не более чем на 15 минут.

 

IV. ПОРЯДОК СМЕНЫ ЛИЧНЫХ ПАРОЛЕЙ

 

9. Смена паролей должна проводиться регулярно, не реже одного раза в 6 месяцев, самостоятельно каждым пользователем.

          В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т.п.) должно производиться немедленное удаление его учетной записи сразу после окончания последнего сеанса работы данного пользователя с системой.

10. Срочная (внеплановая) полная смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) ответственного за обеспечение безопасности персональных данных.

12. Временный пароль, заданный администратором безопасности ИСПДн при регистрации нового пользователя, должен действовать в течение ограниченного срока времени. Пользователь должен изменить временный пароль при первом входе в систему.

 

V. хранение пароля

 

13. Запрещается записывать пароли на бумаге, в файле, электронной записной книжке, мобильном телефоне и любых других предметах и носителях информации.

14. Запрещается сообщать свой пароль полностью или частично другим пользователям, запрещается спрашивать или подсматривать пароль других пользователей.

15. Запрещается регистрировать других пользователей в ИСПДн со своим личным паролем, запрещается входить в ИСПДн под учетной записью и паролем другого пользователя.

 

VI. действия В СЛУЧАЕ УТЕРИ И КОМПРОМЕТАЦИИ ПАРОЛЯ

 

16. В случае утери или компрометации (разглашения, утраты) или подозрения в компрометации пароля пользователя должна быть немедленно проведена внеплановая процедура смены пароля.

 

VII. Ответственность

 

17. Каждый пользователь ИСПДн несет персональную ответственность за соблюдение требований настоящей Инструкции и за все действия, совершенные от имени его учетной записи в ИСПДн, если с его стороны не было предпринято необходимых действий для предотвращения компрометации пароля его учетной записи.

19. За разглашение персональных данных и нарушение порядка работы со средствами ИСПДн, обрабатывающими персональные данные, работники могут быть привлечены к гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности в установленном законом порядке.