Типы документов

Реклама

Партнеры

Приказ комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию от 18.12.2013 N 219/01-07 о/д "Об утверждении Положения о парольной защите в комитете Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию"



КОМИТЕТ СТАВРОПОЛЬСКОГО КРАЯ ПО ПИЩЕВОЙ И ПЕРЕРАБАТЫВАЮЩЕЙ
ПРОМЫШЛЕННОСТИ, ТОРГОВЛЕ И ЛИЦЕНЗИРОВАНИЮ

ПРИКАЗ
от 18 декабря 2013 г. № 219/01-07 о/д

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ПАРОЛЬНОЙ ЗАЩИТЕ В КОМИТЕТЕ
СТАВРОПОЛЬСКОГО КРАЯ ПО ПИЩЕВОЙ И ПЕРЕРАБАТЫВАЮЩЕЙ
ПРОМЫШЛЕННОСТИ, ТОРГОВЛЕ И ЛИЦЕНЗИРОВАНИЮ

В соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" приказываю:

1. Утвердить прилагаемое Положение о парольной защите в комитете Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию.
2. Общему отделу комитета Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию довести настоящий приказ до сведения руководителей структурных подразделений комитета.
3. Контроль за выполнением настоящего приказа возложить на заместителя председателя комитета Видиневу И.И.
4. Настоящий приказ вступает в силу с 1 апреля 2014 года.

Исполняющая обязанности
председателя комитета
Г.П.МИРОНЫЧЕВА





Утверждено
приказом
комитета Ставропольского края
по пищевой и перерабатывающей
промышленности, торговле
и лицензированию
от 18 декабря 2013 г. № 219/01-07 о/д

ПОЛОЖЕНИЕ
О ПАРОЛЬНОЙ ЗАЩИТЕ В КОМИТЕТЕ СТАВРОПОЛЬСКОГО КРАЯ
ПО ПИЩЕВОЙ И ПЕРЕРАБАТЫВАЮЩЕЙ ПРОМЫШЛЕННОСТИ, ТОРГОВЛЕ
И ЛИЦЕНЗИРОВАНИЮ

I. Общие положения

1. Положение о парольной защите в комитете Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию (далее соответственно - Положение, комитет) устанавливает порядок ведения парольной защиты информации ограниченного распространения, регламентирует организационно-техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей (удаления учетных записей пользователей) в комитете, а также контроль действий работников комитета при работе с паролями.
2. Положение разработано в соответствии с нормативными правовыми актами Российской Федерации и Ставропольского края в области защиты информации.
3. Пароль пользователя, в случае если он сгенерирован в соответствии с требованиями Положения и держится в секрете, гарантирует, что:
1) никто другой, кроме держателя пароля, не мог произвести действия, которые были зафиксированы в электронном журнале доступа ресурса информационной инфраструктуры комитета как действия данного держателя пароля;
2) никто другой, кроме держателя пароля, не мог получить доступ к информации ограниченного распространения, обрабатываемой в ресурсе информационной инфраструктуры комитета, воспользовавшись учетной записью держателя пароля;
3) если работнику комитета требуются возможности, которыми обладает автоматизированное рабочее место другого работника комитета, он может пройти процесс авторизации под своей учетной записью, если данная необходимость предусмотрена в заявке на получение доступа к ресурсам информационной инфраструктуры комитета.
4. Требования, установленные настоящим Положением, являются обязательными для всех работников комитета.

II. Основные термины, сокращения и определения

5. Информация ограниченного распространения - конфиденциальная информация, касающаяся деятельности комитета, ограничения на распространение которой вызваны служебной необходимостью, а именно: документы с отметкой "для служебного пользования", персональные данные субъектов персональных данных, информация, не составляющая государственную тайну, содержащаяся в государственных информационных системах, и сведения, содержащие государственную тайну.
6. Администратор информационной безопасности - назначенное приказом комитета ответственное лицо за организацию обработки и обеспечение безопасности информации ограниченного распространения, имеющее базовое высшее образование в области защиты информации или прошедшее курс дополнительного профессионального образования в области защиты информации в объеме не менее 72 часов и получившее удостоверение государственного образца о краткосрочном повышении квалификации.
7. Информационная безопасность (далее - ИБ) - комплекс правовых, организационных и технических мер, обеспечивающих конфиденциальность, целостность и доступность информации.
8. Информационная инфраструктура (далее - ИИ) - информационные ресурсы, технологии и системы, базы данных, серверное, компьютерное, сетевое и периферийное оборудование, программное обеспечение, программные и аппаратно-программные средства защиты информации, информационно-телекоммуникационная сеть, находящиеся в ведении комитета, используемые для выполнения работниками комитета служебных обязанностей, доступа к ресурсам сети Интернет, а также информационного взаимодействия с органами государственной власти Ставропольского края.
9. Информационные технологии (далее - ИТ) - совокупность методов и процессов, обеспечивающих хранение, обработку, преобразование и передачу информации комитета с использованием средств компьютерной техники и телекоммуникационного оборудования.
10. Сеть Интернет - глобальная информационно-телекоммуникационная сеть, обеспечивающая удаленный доступ к ресурсам различного содержания и направленности.
11. Пользователь - работник комитета, использующий ресурсы информационной инфраструктуры комитета при исполнении своих служебных обязанностей.
12. Автоматизированное рабочее место (далее - АРМ) - АРМ в составе персонального компьютера, периферийного оборудования и прикладного программного обеспечения, предназначенное для исполнения пользователем служебных обязанностей.
13. Паспорт АРМ - документ, содержащий полный перечень оборудования и программного обеспечения АРМ.
14. Служебная электронная почта - технология и предоставляемые ею услуги по пересылке и получению электронных сообщений (называемых "письма" или "электронные письма").
15. Программное обеспечение (далее - ПО) - совокупность программ, процедур, правил и соответствующей документации системы обработки информации, необходимых для эксплуатации этих программ.
16. Вредоносное ПО - ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и (или) доступности информации.
17. Вредоносное ПО - программное обеспечение, способное выполнять одну или несколько функций: использовать угрозу безопасности для осуществления несанкционированного доступа, скрывать признаки своего присутствия; самодублироваться; ассоциировать себя с другими программами; разрушать код программ в оперативной памяти; выполнять без инициирования со стороны пользователя деструктивные функции; сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа; искажать, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации.
18. Реестр - документ "Реестр разрешенного к использованию программного обеспечения в комитете Ставропольского края по пищевой и перерабатывающей промышленности, торговле и лицензированию". Содержит перечень программного обеспечения, разрешенного к использованию в комитете.
19. Учетная запись - реквизиты, используемые работниками комитета для доступа к ресурсам информационной инфраструктуры комитета, основными параметрами являются логин (имя, login) и пароль (password).
20. Пароль - секретный набор символов, используемый для аутентификации пользователя.
21. Административный пароль - пароль администратора информационной системы, позволяющий осуществлять настройку средств защиты информации, установку, настройку и удаление программ и другие действия, не доступные пользовательским паролям.
22. Пользовательский пароль - пароль к ограниченной учетной записи, позволяющий создавать, редактировать, удалять электронные файлы и каталоги, пользоваться периферийным оборудованием и получать доступ к сети Интернет, служебной электронной почте и другим ресурсам информационной инфраструктуры комитета для выполнения служебных обязанностей.
23. Компрометация пароля - известность пароля или принципа его формирования посторонним лицам.
24. Несанкционированный доступ (далее - НСД) - доступ к информации, нарушающий установленные правила доступа.
25. Правила доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
26. Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
27. Субъект доступа - лицо или процесс, действия которых регламентируются правилами разграничения доступа.
28. Аутентификация - процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, путем сравнения введенной уникальной информации со сведениями, хранимыми в базе данных пользователей.
29. Авторизация - предоставление определенному лицу или группе лиц прав доступа на выполнение определенных действий, а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий.
30. Журнал учета паролей - документ для служебного пользования, содержащий логины и пароли работников комитета к ресурсам информационной инфраструктуры комитета. Журнал хранится администратором информационной безопасности в опечатываемом сейфе.

III. Обязанности работников комитета

31. Работники комитета обязаны:
1) менять пароли для доступа к ресурсам информационной инфраструктуры комитета не реже, чем 1 раз в 6 месяцев;
2) применять необходимые меры по защите своих паролей, исключающие возможность компрометации паролей;
3) помнить свои пароли или хранить их таким образом, чтобы они были недоступны другим лицам;
4) передать, вместе с логином соответствующей учетной записи, новое значение пароля администратору информационной безопасности, в течение 3 дней после смены служебного пароля.
32. Работникам комитета запрещается:
1) применять пароли, используемые им в информационной инфраструктуре комитета, в личном использовании (например, на веб-сайтах и форумах сети Интернет, личной электронной почте, социальных сетях, сервисах обмена мгновенными сообщениями и т.д.);
2) передавать служебные пароли никому ни под каким предлогом, включая своего руководителя, коллег, родственников, знакомых и других лиц;
3) записывать пароли на бумаге, в файле, телефоне, электронной записной книжке и на других легкодоступных носителях информации. Места хранения служебных паролей могут быть согласованы работником комитета с администратором информационной безопасности;
4) указывать в качестве ответов на секретные вопросы, необходимые для восстановления забытого пароля, свои общедоступные данные (имя, фамилия, дата рождения, адрес, номера телефонов, банковских карт, регистрационных документов и автомобиля работников комитета и членов своей семьи и т.д.).

IV. Служебный пароль

33. Для генерации служебного пароля допускается применение программного обеспечения, входящего в Реестр и указанного в паспорте АРМ.
34. Генерация, смена паролей проводятся в следующих случаях:
1) допуск нового работника комитета к ресурсу информационной инфраструктуры;
2) допуск работника комитета к новому ресурсу информационной инфраструктуры;
3) наступление условия обязательной регулярной смены пароля;
4) компрометация либо подозрение на компрометацию текущего пароля;
5) отпуск, увольнение, перевод работника комитета в другое структурное подразделение комитета, которому в связи с выполнением служебных обязанностей были известны служебные пароли;
6) расторжение договора с подрядной организацией, сотрудникам которой выдавались пароли для выполнения работ в информационной инфраструктуре комитета.
35. В случае если ресурс информационной инфраструктуры обладает механизмом проверки требований к безопасности паролей, пользователи самостоятельно формируют пароль в соответствии с требованиями Положения.
36. В случае если ресурс информационной инфраструктуры не обладает механизмом проверки требований к безопасности паролей, администратор информационной безопасности контролирует формирование пользователем служебного пароля.
37. Раскрытие служебного пароля пользователя другим работникам комитета возможно после уведомления руководителя структурного подразделения комитета и администратора информационной безопасности посредством служебной электронной почты.
38. После получения соответствующего уведомления администратор информационной безопасности контролирует генерацию и смену нового пароля пользователя.
39. После генерации и смены нового пароля новые данные вносятся администратором информационной безопасности в журнал паролей с отметкой даты и причины смены.
40. Администратор информационной безопасности хранит в журнале паролей все административные и пользовательские пароли, если иное не предусмотрено нормативными правовыми актами комитета. Журнал хранится администратором информационной безопасности в опечатываемом сейфе.
41. Учетные записи имеющих членство в группах администраторов должны иметь пароль, отличный от всех других паролей данного пользователя.
42. Служебные пароли должны генерироваться с учетом следующих требований:
1) длина пароля должна быть не менее 9 символов;
2) содержать знаки трех из четырех перечисленных ниже категорий:
а) латинские заглавные буквы (от A до Z);
б) латинские строчные буквы (от a до z);
в) цифры (от 0 до 9);
г) отличающиеся от букв и цифр знаки (например, !, $, #, %).
43. Служебный пароль не должен включать в себя:
1) легко вычисляемые сочетания букв и знаков, ассоциируемые с пользователем (имя, фамилия, дата рождения, адрес, номер телефонов и автомобиля работников комитета и членов его семьи и т.д.);
2) клавиатурные последовательности символов и знаков (qwerty, 12345);
3) слова, аббревиатуры и общепринятые сокращения (stavcomtl, komitst, komitet и т.д.).
44. При генерации нового пароля новое сочетание символов должно отличаться от предыдущего не менее чем на 4 символа.
45. Не допускается использование одного служебного пароля для доступа к различным ресурсам информационной инфраструктуры комитета.
46. В целях обеспечения информационной безопасности и противодействия попыткам подбора пароля в комитете определены правила ввода пароля:
1) символы вводимого пароля не отображаются на экране в явном виде;
2) ввод пароля должен осуществляться непосредственно пользователем пароля;
3) непосредственно перед вводом пароля для предотвращения возможности неверного ввода пользователь должен убедиться в правильности языка ввода (раскладки клавиатуры), проверить, не является ли активной клавиша CAPSLOCK (если это необходимо), а также проконтролировать расположение клавиатуры (клавиатура должна располагаться таким образом, чтобы исключить возможность увидеть набираемый текст посторонними);
4) при вводе пароля пользователю запрещается проговаривать вслух вводимые символы.
47. Хранение работником комитета своих паролей на бумажном носителе допускается только в опечатываемом сейфе у администратора информационной безопасности.
48. В случае возникновения необходимости в смене пароля ввиду компрометации пользователь должен известить администратора информационной безопасности о факте компрометации и сменить пароль.
49. Под компрометацией пароля следует понимать:
1) физическая утеря материального носителя пароля;
2) передача пароля по открытым каналам связи;
3) проникновение постороннего лица в помещение физического хранения носителя парольной информации или алгоритма или подозрение на него (срабатывание сигнализации, повреждение устройств контроля несанкционированного доступа (слепков печатей), повреждение замков и т.п.);
4) визуальный осмотр бумажного носителя парольной информации посторонним лицом;
5) сознательная передача пароля постороннему лицу.

V. Обязанности администратора информационной безопасности

50. Администратор информационной безопасности обязан:
1) принимать, контролировать и вести учет обращений пользователей по вопросам парольной защиты (например, блокировка учетных записей, компрометация пароля, нарушение положения и другие);
2) консультировать пользователей по вопросам использования парольной защиты;
3) осуществлять безопасное хранение служебных паролей в опечатываемом сейфе;
4) производить разблокировку учетных записей пользователей.

VI. Ответственность при организации парольной защиты

51. Работники комитета должны быть ознакомлены под роспись с требованиями Положения.
52. Работникам комитета запрещается раскрывать свой пароль за исключением пункта 37 Положения. За разглашение парольной информации, которая представляет информацию ограниченного распространения, работник комитета привлекается к ответственности в соответствии с действующим законодательством Российской Федерации.
53. Ответственность в случае несвоевременного уведомления администратора информационной безопасности о случаях утери, кражи, взлома или компрометации пароля возлагается на владельца взломанной учетной записи.
54. Руководители структурных подразделений проводят ежемесячную разъяснительную работу с работниками комитета о порядке хранения и использования паролей.
55. Контроль за порядком генерации и смены паролей возлагается на администратора информационной безопасности.
56. Ответственность за организацию парольной защиты возлагается на администратора информационной безопасности.
57. Отдел кадрового и правового обеспечения комитета обязан уведомлять администратора информационной безопасности о фактах увольнения, назначения, перевода в другое структурное подразделение и отпуск работника комитета.


------------------------------------------------------------------