Постановление службы безопасности и информационной защиты Астраханской области от 20.09.2013 N 6-П "О правилах работы в Единой мультисервисной телекоммуникационной сети Правительства Астраханской области"
СЛУЖБА БЕЗОПАСНОСТИ И ИНФОРМАЦИОННОЙ ЗАЩИТЫ
АСТРАХАНСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 20 сентября 2013 г. № 6-П
О ПРАВИЛАХ РАБОТЫ В ЕДИНОЙ МУЛЬТИСЕРВИСНОЙ
ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ ПРАВИТЕЛЬСТВА
АСТРАХАНСКОЙ ОБЛАСТИ
Список изменяющих документов
(в ред. Постановлений службы безопасности и информационной защиты
Астраханской области от 01.08.2014 № 6-П, от 24.08.2015 № 6-П)
В соответствии с Распоряжением Правительства Астраханской области от 18.09.2013 № 424-Пр "О Единой мультисервисной телекоммуникационной сети Правительства Астраханской области", а также в целях установления единых требований, предъявляемых к работникам, администраторам, при работе в Единой мультисервисной телекоммуникационной сети Правительства Астраханской области служба безопасности и информационной защиты Астраханской области постановляет:
1. Утвердить прилагаемые:
- инструкцию пользователя Единой мультисервисной телекоммуникационной сети Правительства Астраханской области;
- инструкцию администратора сегмента Единой мультисервисной телекоммуникационной сети Правительства Астраханской области;
- инструкцию по организации парольной защиты пользователей Единой мультисервисной телекоммуникационной сети Правительства Астраханской области.
2. Отделу кадрового и документационного обеспечения службы безопасности и информационной защиты Астраханской области (Егорова Л.А.) направить настоящее Постановление:
- в двухдневный срок со дня принятия в агентство связи и массовых коммуникаций Астраханской области (Зайцева М.А.) для официального опубликования;
- в семидневный срок со дня принятия поставщикам справочно-правовых систем "КонсультантПлюс" ЗАО "ТЕЛЕКОМ-СКИФ" и "ГАРАНТ" ЗАО НПП "Астрахань-Гарант-Сервис";
- в семидневный срок со дня принятия в управление Министерства юстиции Российской Федерации по Астраханской области;
- не позднее семи рабочих дней со дня подписания копию настоящего Постановления в прокуратуру Астраханской области.
3. Антикоррупционному отделу службы безопасности и информационной защиты Астраханской области (Калюжный А.Н.) разместить текст настоящего Постановления на официальном сайте службы безопасности и информационной защиты Астраханской области в информационно-телекоммуникационной сети "Интернет" по адресу http://sbiz.astrobl.ru/.
4. Постановление вступает в силу по истечении 10 дней после его официального опубликования.
Руководитель службы
М.Н.ИВАНОВ
Утверждена
Постановлением
службы безопасности и
информационной защиты
Астраханской области
от 20 сентября 2013 г. № 6-П
ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЯ ЕДИНОЙ МУЛЬТИСЕРВИСНОЙ ТЕЛЕКОММУНИКАЦИОННОЙ
СЕТИ ПРАВИТЕЛЬСТВА АСТРАХАНСКОЙ ОБЛАСТИ
Список изменяющих документов
(в ред. Постановлений службы безопасности и информационной защиты
Астраханской области от 01.08.2014 № 6-П, от 24.08.2015 № 6-П)
1. Общие положения
1.1. Инструкция пользователя Единой мультисервисной телекоммуникационной сети Правительства Астраханской области (далее - Инструкция) разработана в соответствии с действующим законодательством в области обеспечения информационной безопасности и защиты информации.
1.2. Единая мультисервисная телекоммуникационная сеть Правительства Астраханской области (далее - ЕМТС) состоит из центров обработки данных, телекоммуникационных узлов сети, локально-вычислительных сетей (далее - ЛВС) исполнительных органов государственной власти Астраханской области и подведомственных им государственных учреждений (далее - ИОГВ), органов местного самоуправления муниципальных образований Астраханской области и подведомственных им муниципальных учреждений (далее - ОМС), виртуальных частных сетей и других каналов связи.
Пользователями ЕМТС являются:
- работник ИОГВ;
- работник ОМС.
Администратором ЕМТС, отвечающим за бесперебойную работу ЕМТС, а также осуществляющим техническую и программную поддержку ЕМТС, является государственное бюджетное учреждение Астраханской области "Инфраструктурный центр электронного правительства".
Сегменты ЕМТС - это ЛВС ИОГВ и ОМС.
Администраторами сегментов ЕМТС, отвечающими за бесперебойную работу своего сегмента ЕМТС, а также осуществляющими техническую и программную поддержку пользователей сегмента ЕМТС, могут являться:
- либо специальное подразделение в структуре ИОГВ (должностное лицо) или ОМС;
- либо подведомственное учреждение.
Рабочая станция - комплекс технических и программных средств, предназначенных для выполнения пользователем ЕМТС его функциональных обязанностей. Рабочая станция как место работы пользователя ЕМТС представляет собой компьютер с соответствующим программным обеспечением.
Пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), известная только пользователю ЕМТС, используемая для подтверждения подлинности владельца учетной записи.
Компрометация пароля - это нарушение его конфиденциальности.
Средство защиты информации - техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Несанкционированный доступ к информации - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
1.3. Инструкция определяет повседневный регламент работы, устанавливает права и обязанности пользователей, подключенных к ЕМТС.
1.4. Инструкция разработана в целях повышения эффективности работы ЕМТС и всех ее составляющих, регламентации взаимодействия между пользователями ЕМТС.
1.5. Требования данной Инструкции распространяются на всех пользователей ЕМТС.
1.6. Обработка конфиденциальной информации разрешена только на рабочих станциях, отвечающих требованиям по защите информации в соответствии с действующим законодательством.
1.7. Запрещается доступ пользователей ЕМТС к работе на рабочей станции до ознакомления с настоящей Инструкцией.
2. Права пользователя ЕМТС
Пользователь ЕМТС имеет право:
2.1. Получать доступ к ресурсам сети в пределах должностных полномочий, если этот доступ не противоречит данной Инструкции.
2.2. Обращаться к администратору ЕМТС, администратору сегмента ЕМТС за справочной информацией, консультацией и оформлять заявки на проведение работ по установке и настройке программного обеспечения.
2.3. Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с предусмотренными настоящей Инструкцией обязанностями.
3. Обязанности пользователя ЕМТС
Пользователь ЕМТС обязан:
- соблюдать требования обеспечения информационной безопасности и защиты информации, установленные Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Федеральным законом от 06.04.2011 № 63-ФЗ "Об электронной подписи";
- соблюдать правила работы со средствами защиты информации, установленными на его рабочей станции;
- выполнять требования администраторов соответствующих сегментов ЕМТС, не противоречащие настоящей Инструкции;
- обеспечивать конфиденциальность идентификационной информации, используемой для доступа к ресурсам сети (паролей и прочих кодов авторизованного доступа);
- незамедлительно извещать администраторов своего сегмента ЕМТС в случае заражения рабочей станции вирусом, обнаружении ошибок в программном обеспечении, подозрении на компрометацию личных ключей и паролей, отклонений в нормальной работе системных и прикладных программных средств, в том числе и технических средств защиты и иных внештатных ситуациях, имеющих признаки нарушения безопасного использования ЕМТС;
- содержать в чистоте и исправном состоянии рабочую станцию.
4. Запреты при работе в ЕМТС
(в ред. Постановления службы по обеспечению безопасности жизнедеятельности
населения Астраханской области от 24.08.2015 № 6-П)
Пользователю ЕМТС запрещается:
4.1. Осуществлять несанкционированное подключение к ЕМТС и использование ее ресурсов. В том числе:
- устанавливать программное обеспечение, осуществляющее взлом сети, подбор паролей, перехват информации (пакетов), адресованной другим пользователям;
- получать несанкционированный доступ к ресурсу ЕМТС (компьютеру, сетевому и другому оборудованию или информационному ресурсу), а также уничтожать или модифицировать программное обеспечение или данные;
- производить несанкционированное копирование информационных ресурсов на электронные съемные носители информации (магнитные диски, flash-диски, CD и т.д.);
- создавать, использовать и распространять вредоносные программы, в том числе направленные на нарушение целостности и работоспособности систем;
- производить попытки подбора паролей к любым информационным ресурсам.
4.2. Использовать программное обеспечение и аппаратные средства и (или) их компоненты в личных целях.
4.3. Использовать учтенные электронные съемные носители информации для задач, которые не связаны с исполнением служебных обязанностей.
4.4. Использовать неучтенные электронные съемные носители информации на компьютерах, прошедших процедуру определения соответствия требованиям по защите информации ФСТЭК России.
4.5. Использовать личную электронную почту в служебных целях.
Служебная переписка должна осуществляться с использованием почтовых сервисов ЕМТС. Полученные или отправленные с использованием почтовых сервисов ЕМТС сообщения являются неотъемлемой частью внутреннего документооборота и не являются частной собственностью.
4.6. Использовать почтовые сервисы ЕМТС в личных целях, а также для совершения иных действий, а именно:
- использовать адрес служебной электронной почты для оформления подписок, без предварительного согласования с администратором ЕМТС;
- открывать вложенные файлы во входящих сообщениях без предварительной проверки антивирусными средствами, даже если отправитель хорошо известен;
- осуществлять массовую рассылку почтовых сообщений (более 10) внешним адресатам без их согласия, осуществлять массовую рассылку почтовых сообщений рекламного характера или поздравлений, если рассылка не связана с выполнением служебных обязанностей;
- рассылать содержащие вирусы материалы, компьютерные коды, файлы или программы, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам или программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в Интернете, а также ссылки на вышеуказанную информацию;
- распространять защищаемые авторскими правами материалы, затрагивающие какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и (или) авторские и смежные с ними права третьей стороны;
- распространять информацию, содержание которой запрещено международным законодательством и законодательством Российской Федерации, включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д.;
- распространять информацию ограниченного доступа, в том числе персональные данные, за исключением общедоступных;
- предоставлять третьим лицам данные доступа к своему почтовому ящику.
4.7. Распространять информацию (серийные номера лицензионного программного обеспечения, само программное обеспечение, файлы данных и т.п.), являющуюся собственностью ИОГВ и защищенную законодательством Российской Федерации.
4.8. Передавать информацию, ставшую ему известной в ходе осуществления им служебной деятельности, лицам, не имеющим права на доступ к такой информации.
4.9. Несанкционированно вносить изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства. Изменять сетевые настройки рабочих мест (IP-адрес, настройки сетевых протоколов, сетевое имя, в том числе и средств защиты). Фальсифицировать данные, передаваемые по сети, в том числе обратный адрес электронной почты.
4.10. Публиковать и рассылать информацию, нарушающую действующее законодательство.
4.11. Хранить на рабочей станции, предоставлять общий доступ и передавать по ЕМТС информацию личного характера. К такой информации относятся аудио-, фото-, видеофайлы личного характера, информация развлекательного характера, компьютерные игры.
4.12. Осуществлять действия по сканированию сети с целью определения ее внутренней структуры, списков открытых портов, наличия всевозможных сервисов и использования полученной информации для решения задач, не входящих в должностные полномочия.
4.13. При работе в сети Интернет:
- обход, попытка обхода систем контроля доступа к сети Интернет, учетных систем получаемого трафика, их повреждение или дезинформация;
- передача конфиденциальной информации без использования средств криптографической защиты информации.
4.14. Самостоятельно устанавливать и переустанавливать операционную систему на своем рабочем месте, не имея на это соответствующих полномочий, а также устанавливать и переустанавливать другое программное обеспечение без согласования с администратором сегмента ЕМТС.
4.15. Оставлять на рабочем месте без личного присмотра включенную рабочую станцию с неактивированными средствами защиты информации.
4.16. Отказываться от обновления антивирусных баз.
4.17. Отключать антивирусное программное обеспечение.
Утверждена
Постановлением
службы безопасности и
информационной защиты
Астраханской области
от 20 сентября 2013 г. № 6-П
ИНСТРУКЦИЯ
АДМИНИСТРАТОРА СЕГМЕНТА ЕДИНОЙ МУЛЬТИСЕРВИСНОЙ
ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ ПРАВИТЕЛЬСТВА
АСТРАХАНСКОЙ ОБЛАСТИ
Список изменяющих документов
(в ред. Постановления службы безопасности и информационной защиты
Астраханской области от 01.08.2014 № 6-П)
1. Общие положения
1.1. Инструкция администратора сегмента Единой мультисервисной телекоммуникационной сети Правительства Астраханской области (далее - Инструкция) разработана в соответствии с действующим законодательством в области обеспечения информационной безопасности и защиты информации.
1.2. Единая мультисервисная телекоммуникационная сеть Правительства Астраханской области (далее - ЕМТС) состоит из центров обработки данных, телекоммуникационных узлов сети, локально-вычислительных сетей (далее - ЛВС) исполнительных органов государственной власти Астраханской области и подведомственных им государственных учреждений (далее - ИОГВ), органов местного самоуправления муниципальных образований Астраханской области и подведомственных им муниципальных учреждений (далее - ОМС), виртуальных частных сетей и других каналов связи.
Пользователями ЕМТС являются:
- работник ИОГВ;
- работник ОМС.
Администратором ЕМТС, отвечающим за бесперебойную работу ЕМТС, а также осуществляющим техническую и программную поддержку ЕМТС, является государственное бюджетное учреждение Астраханской области "Инфраструктурный центр электронного правительства".
Сегменты ЕМТС - это ЛВС ИОГВ или ОМС.
Администраторами сегментов ЕМТС, отвечающими за бесперебойную работу своего сегмента ЕМТС, а также осуществляющими техническую и программную поддержку пользователей сегмента ЕМТС, могут являться:
- либо специальное подразделение в структуре ИОГВ (должностное лицо);
- либо подведомственное учреждение.
Рабочая станция - комплекс технических и программных средств, предназначенных для выполнения пользователем ЕМТС его функциональных обязанностей. Рабочая станция как место работы пользователя ЕМТС представляет собой компьютер с соответствующим программным обеспечением.
Пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), известная только пользователю ЕМТС, используемая для подтверждения подлинности владельца учетной записи.
1.3. Инструкция устанавливает права и обязанности администраторов сегментов ЕМТС.
1.4. Инструкция разработана в целях регламентации действий администратора сегмента ЕМТС.
1.5. Запрещается доступ администратора сегмента ЕМТС к работе до ознакомления с настоящей Инструкцией.
1.6. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей входа на рабочую станцию и контроль за действиями пользователей и администраторов сегментов ЕМТС при работе с паролями возлагается на администратора ЕМТС.
2. Обязанности администратора сегмента ЕМТС
2.1. Знать и выполнять требования данной Инструкции.
2.2. Обеспечивать непрерывность работы всех элементов обслуживаемого сегмента ЕМТС.
2.3. Оперативно сообщать о любых инцидентах, угрожающих непрерывности работы средств защиты и/или сохранности информации, руководителю ИОГВ или ОМС.
2.4. В случае обнаружения неисправности технических средств и программного обеспечения элементов ЕМТС, в том числе средств защиты информации, в кратчайшие сроки (не превышающие одного рабочего дня) принимать меры по восстановлению работоспособности и выявлению причин, приведших к неисправности.
2.5. В случае утраты доступа к информации в кратчайшие сроки (не превышающие одного рабочего дня) принимать меры по их восстановлению из актуальной копии и выявлению причин, приведших к удалению или недоступности информации.
2.6. Осуществлять мониторинг ЕМТС на наличие несанкционированного подключения с использованием личных персональных компьютеров и портативных средств вычислительной и телекоммуникационной техники.
(п. 2.6 введен Постановлением службы безопасности и информационной защиты Астраханской области от 01.08.2014 № 6-П)
3. Порядок резервирования информации с серверов ЕМТС
Администратор ЕМТС и администратор сегмента ЕМТС обеспечивают:
- действия по созданию, хранению и использованию резервных и архивных копий массивов данных;
- хранение резервных копий информации отдельно от оригиналов.
4. Порядок работы с учетными записями пользователей
4.1. Учетные записи пользователей в домене astrobl.ru создаются администратором ЕМТС или администраторами сегментов ЕМТС в пределах обслуживаемого сегмента на основании заявок (приложение к настоящей Инструкции).
4.2. Учетные записи пользователей в информационных системах ИОГВ и ОМС, не входящих в домен astrobl.ru, создаются администратором сегмента ЕМТС самостоятельно.
4.3. В соответствии с инструкцией по организации парольной защиты пользователей ЕМТС к каждой учетной записи создается уникальный пароль.
4.4. При увольнении пользователя ЕМТС его учетная запись в домене astrobl.ru блокируется администратором ЕМТС после получения соответствующей заявки от ИОГВ или ОМС.
4.5. При увольнении пользователя ЕМТС его учетная запись в информационных системах ИОГВ и ОМС, не входящих в домен astrobl.ru, блокируется администратором сегмента ЕМТС.
5. Порядок установки, замены и модернизации программных
средств и аппаратных устройств
5.1. Все изменения конфигурации программных средств и аппаратных устройств должны производиться только на основании заявок руководителей структурных подразделений ИОГВ, согласованных с руководителем ИОГВ.
5.2. Все добавляемые программные и аппаратные компоненты должны отвечать требованиям действующего законодательства по информационной безопасности и защите информации.
5.3. После проведения модификации программного обеспечения на рабочих станциях администратор сегмента ЕМТС должен произвести антивирусный контроль.
5.4. После установки (обновления) программного обеспечения администратор должен произвести настройку средств управления доступом к компонентам данной задачи (программного средства), должен проверить работоспособность программного обеспечения и правильность настройки средств защиты.
5.5. Изменение конфигурации рабочих станций и серверов кем-либо, кроме администратора сегмента ЕМТС, запрещено.
6. Порядок передачи носителей информации с серверов,
рабочих станций ЕМТС на сервисное обслуживание
6.1. При передаче носителей информации с серверов и рабочих станций ЕМТС на сервисное обслуживание администратор ЕМТС предпринимает необходимые меры для обеспечения безопасности передаваемых данных.
6.2. Изъятие сервера или рабочей станции из состава ЕМТС, передача оборудования на склад, в ремонт или в другое подразделение для решения иных задач осуществляется только после оформления акта приема-передачи техники.
7. Применение средств антивирусного контроля
Администратор сегмента ЕМТС принимает меры по настройке антивирусного программного обеспечения следующим образом:
7.1. Ежедневно в начале работы должно выполняться обновление антивирусных баз и проводиться антивирусный контроль системной области жесткого диска.
7.2. Периодическая полная антивирусная проверка должна проводиться не реже одного раза в неделю.
7.3. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, flash-дисках, CD-ROM и т.п.).
7.4. Разархивирование и антивирусный контроль входящей информации необходимо проводить непосредственно после ее приема.
Антивирусный контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
7.5. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов.
7.6. Антивирусный контроль информации на съемных носителях производится непосредственно перед ее использованием.
7.7. При возникновении подозрения на наличие компьютерного вируса пользователь ЕМТС или администратор сегмента ЕМТС должны провести внеочередной антивирусный контроль.
Приложение
к Инструкции администратора
сегмента Единой мультисервисной
телекоммуникационной сети
Правительства Астраханской области
Заявка на создание (корректировку) учетной записи
пользователя ЕМТС
Прошу провести работы по изменению учетных записей для доступа к
ресурсам ЕМТС Правительства Астраханской области для следующих сотрудников:
№ Наименование Ф.И.О. Должность Отдел Рабочий Фактический Этаж, Необходимые
п/п работ телефон адрес номер учетные
(создание, кабинета записи
блокировка, (домен,
корректировка) электронная
почта,
средство
обмена
сообщениями
(MS
Communicator,
Lync)
________________________ _____________/______________/
должность руководителя подпись Ф.И.О.
"____" ___________ 20 __ г.
М.П.
Утверждена
Постановлением
службы безопасности и
информационной защиты
Астраханской области
от 20 сентября 2013 г. № 6-П
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ ПОЛЬЗОВАТЕЛЕЙ
ЕДИНОЙ МУЛЬТИСЕРВИСНОЙ ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ
ПРАВИТЕЛЬСТВА АСТРАХАНСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Инструкция по организации парольной защиты пользователей Единой мультисервисной телекоммуникационной сети Правительства Астраханской области (далее - Инструкция) регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей в Единой мультисервисной телекоммуникационной сети Правительства Астраханской области (далее - ЕМТС).
1.2. ЕМТС состоит из центров обработки данных, телекоммуникационных узлов сети, локально-вычислительных сетей (далее - ЛВС) исполнительных органов государственной власти Астраханской области и подведомственных им государственных учреждений (далее - ИОГВ), органов местного самоуправления муниципальных образований Астраханской области и подведомственных им муниципальных учреждений (далее - ОМС), виртуальных частных сетей и других каналов связи.
Пользователями ЕМТС являются:
- работник ИОГВ;
- работник ОМС.
Администратором ЕМТС, отвечающим за бесперебойную работу ЕМТС, а также осуществляющим техническую и программную поддержку ЕМТС, является государственное бюджетное учреждение Астраханской области "Инфраструктурный центр электронного правительства".
Сегменты ЕМТС - это ЛВС ИОГВ и ОМС.
Администраторами сегментов ЕМТС, отвечающими за бесперебойную работу своего сегмента ЕМТС, а также осуществляющими техническую и программную поддержку пользователей сегмента ЕМТС могут являться:
- либо специальное подразделение в структуре ИОГВ (должностное лицо);
- либо подведомственное учреждение.
Пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), известная только пользователю ЕМТС, используемая для подтверждения подлинности владельца учетной записи.
Административный пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), известная администратору ЕМТС и/или администратору сегмента ЕМТС, используемая при настройке служебных учетных записей, учетных записей служб и сервисов, а также специальных учетных записей.
Компрометация пароля - это нарушение его конфиденциальности.
Рабочая станция - комплекс технических и программных средств, предназначенных для выполнения пользователем ЕМТС его функциональных обязанностей. Рабочая станция как место работы пользователя ЕМТС представляет собой компьютер с соответствующим программным обеспечением.
1.3. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей входа на рабочую станцию и контроль за действиями пользователей и администраторов сегментов ЕМТС при работе с паролями возлагается на администратора ЕМТС.
2. Правила формирования паролей
2.1. Пароли генерируются и распределяются централизованно либо выбираются пользователями ЕМТС самостоятельно с учетом следующих требований:
- при наличии технической возможности пароль должен состоять не менее чем из восьми символов;
- в пароле обязательно должны присутствовать 3 группы символов из 4 допустимых:
буквы латинского алфавита из верхнего регистра;
буквы латинского алфавита из нижнего регистра;
цифры;
специальные символы (! @ # $ % /\ & * () _ - + = { } [ ] :; " ' <>,. ?);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т.д.), последовательности символов и знаков (111, qwerty, abcd и т.д.), общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетания букв и знаков, которые можно угадать, основываясь на информации о пользователе;
- при смене пароля новый пароль должен отличаться от старого не менее чем в шести позициях.
2.2. Срок действия пароля должен быть ограничен.
3. Порядок смены паролей
3.1. Смена паролей проводится регулярно, не реже одного раза в три месяца.
3.2. В случае компрометации пароля от учетной записи в домене astrobl.ru (либо подозрении на компрометацию) необходимо немедленно сообщить администратору ЕМТС о необходимости временного блокирования учетной записи.
3.3. Восстановление забытого пароля пользователя от учетной записи в домене astrobl.ru осуществляется администратором ЕМТС путем изменения (сброса) основного пароля пользователя на первичный пароль на основании письменной либо электронной заявки пользователя.
Устная заявка пользователя на изменение пароля не является основанием для проведения таких изменений.
3.4. В случае прекращения полномочий пользователя ЕМТС блокирование его учетной записи в домене astrobl.ru производится в соответствии с п. 4.4 Инструкции администратора сегмента Единой мультисервисной телекоммуникационной сети Правительства Астраханской области.
3.5. Срочная (внеплановая) полная смена паролей производится в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) администраторов ЕМТС и других работников, которым по роду деятельности были предоставлены полномочия по управлению системой парольной защиты.
3.6. Смена пароля производится самостоятельно каждым пользователем в соответствии с п. 2.1 Инструкции и/или в соответствии с указанием в системном баннере-предупреждении (при наличии технической возможности).
3.7. Временный пароль, заданный администратором сегмента ЕМТС при регистрации нового пользователя, подлежит замене при первом входе в систему.
4. Ограничения при использовании и хранении пароля
4.1. Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации.
4.2. Запрещается передавать личный пароль по электронной почте, а также с использованием систем быстрого обмена сообщениями, включая средства мобильной связи.
4.3. Запрещается хранить пароль в облачных или иных сетевых сервисах.
4.4. Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
5. Действия в случае утери и компрометации пароля
В случае утери, компрометации или подозрения на компрометацию пароля пользователем ЕМТС должны быть немедленно предприняты меры в соответствии с п. 3.2 или п. 3.3 Инструкции в зависимости от полномочий владельца скомпрометированного пароля.
6. Ответственность при организации парольной защиты
6.1. Администратор ЕМТС, администраторы сегментов ЕМТС и пользователи ЕМТС должны быть ознакомлены с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение информации о пароле.
6.2. Администратор ЕМТС, администраторы сегментов ЕМТС и пользователи ЕМТС должны быть ознакомлены с данной Инструкцией до начала работы в ЕМТС.
------------------------------------------------------------------