УТВЕРЖДЕНО
Распоряжением
Управления образованием
Шалинского городского округа
от 25 апреля 2017 г. № 109-О
|
Инструкция
по идентификации и аутентификации.
|
-
Введение.
Настоящая инструкция определяет в организации «Управление образованием Шалинского городского округа» (далее – Организация) порядок действий администратора безопасности и пользователей информационной системы при прохождении процедур идентификации (узнавания) и аутентификации (подтверждении подлинности узнанного) пользователями в ИСПДн.
-
Порядок идентификации и аутентификации пользователей ИСПДн, являющихся сотрудниками Организации.
Всем пользователям ИСПДн, являющимся сотрудниками Организации, допущенным в установленном порядке к работе с информационной системой, присваиваются учетные записи в виде персональных идентификаторов (логины, имена пользователей). Идентификаторы определяют доступ к техническим средствам и информационным ресурсам ИСПДн и системы защиты информации.
Персональный идентификатор (учетная запись) пользователя создается администратором безопасности и сообщается пользователю. Персональному идентификатору пользователя соответствуют определенные полномочия в ИСПДн и пароль, обеспечивающий аутентификацию (проверку подлинности) в ИСПДн. Права пользователя по доступу к информационным ресурсам ИСПДн, определяется списком (матрицей) доступа в соответствии с Инструкцией по управлению доступом к информации.
Персональные идентификаторы должны быть заблокированы администратором безопасности при превышении времени неиспользования более 90 дней. Персональные идентификаторы должны быть удалены из информационной системы при увольнении сотрудника Организации немедленно по окончании последнего сеанса работы сотрудника, а уволенный сотрудник должен быть исключен из числа пользователей ИСПДн.
При приеме (увольнении) на работу сотрудника Организации или изменении полномочий (временное или бессрочное) действующего сотрудника Организации, включение (исключение) его данных в список доступа к информационным ресурсам ИСПДн и генерацию (уничтожение) идентификатора и пароля, производит администратор безопасности на основании приказа по Организации о предоставлении (запрете) сотруднику доступа к информационным ресурсам ИСПДн. В организации разработана и используется форма соответствующего приказа..
Первичный пароль генерируется администратором безопасности в момент создания идентификатора и выдается пользователю под роспись в журнале учета выдачи первичных паролей.
При первом доступе пользователь обязан изменить выданный ему пароль, руководствуясь требованиями к сложности пароля, указанными в настоящей Инструкции (п. 2.8).
В случаях, предусмотренных нормативными документами по защите информации, обрабатываемой в ИСПДн, либо по решению руководителя при особой ценности для Организации сведений, к которым необходимо обеспечить безопасный доступ, помимо паролей используются дополнительные атрибуты доступа – аппаратные идентификаторы (смарт-карты, электронные ключи), которые обеспечивают более надежную многофакторную аутентификацию.
-
Требования к сложности пароля:
длина пароля должна быть не менее шести символов;
в числе символов пароля обязательно должны присутствовать строчные и прописные буквы, цифры и специальные символы;
пароль не должен включать в себя легко вычисляемые значения символов (имена, фамилии, имена детей или домашних животных, наименования информационных систем, типичных для организации профессиональных терминов, номера телефонов, номера или марки автомобилей, адреса и т. д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
при смене пароля новое значение должно отличаться от предыдущего не менее чем в трех символах;
Пароль действует не более 90 дней, по истечении которых пользователь обязан заменить его новым.
Администратор безопасности осуществляет настройку в информационной системе параметров количества вводов неправильного пароля. Количество вводов неправильного пароля устанавливается равным 3. Разблокирование пароля осуществляет администратор безопасности при обращении к нему пользователя с заблокированным паролем.
Администратор безопасности организует настройку в информационной системе параметров блокирования сеанса доступа при времени бездействия пользователя более 1 часа или по запросу пользователя.
-
Порядок управления аппаратными средствами аутентификации.
При использовании аппаратных средств аутентификации пользователей (смарт-карты, электронные ключи) выдачу, инициализацию, блокирование и утилизацию аппаратных средств аутентификации организует администратор безопасности.
Учет выдачи аппаратных средств аутентификации осуществляет администратор безопасности в журнале учета аппаратных средств аутентификации..
-
Порядок идентификации/аутентификации внешних пользователей ИСПДн.
Присвоение идентификатора и выдача атрибутов аутентификации внешним пользователям ИСПДн, осуществляется администратором безопасности. Учет внешних пользователей, допущенных к обработке персональных данных, осуществляет администратор безопасности в матрице доступа к информационным ресурсам ИСПДн.
Выдачу и смену паролей, учет паролей, учет аппаратных средств аутентификации внешних пользователей, допущенных к обработке ПДн, организует администратор безопасности по правилам п.2, п.3 настоящей инструкции.
-
Обязанности пользователя ИСПДн.
-
Пользователь ИСПДн является частью системы защиты ПДн и обязан соблюдать следующие правила информационной безопасности:
Помнить свой идентификатор и пароль.
Обеспечивать сохранность полученных аппаратных идентификаторов. Не предоставлять доступ к личному аппаратному идентификатору никому, кроме администратора безопасности.
Держать свой пароль в тайне, а именно не сообщать, не разглашать и любым другим способом не доводить до чьего-либо сведения (в том числе других сотрудников Организации, в т.ч. руководителей) личный пароль.
Осуществлять ввод пароля только в условиях, исключающих его просмотр.
Не хранить записки-памятки с личным паролем на видном и/или легкодоступном месте: на столе, на мониторе, под клавиатурой, в верхнем ящике стола и т.п.
Своевременно сообщать администратору безопасности о фактах компрометации пароля (когда пароль стал или может быть известен еще кому-либо кроме его владельца), об утере или повреждении аппаратного идентификатора и в этих случаях не использовать информационную систему до специального разрешения администратора безопасности.
-
Обязанности администратора безопасности.
Администратор безопасности осуществляет организационное и техническое обеспечение процессов создания, использования, изменения и прекращения действия персональных идентификаторов и паролей доступа в ИСПДн, контроль действий пользователей ИСПДн при их работе с персональными идентификаторами и паролями доступа.
-
Администратор безопасности обязан:
создавать, вести учет, закрепление и выдачу пользователям персональных идентификаторов и паролей доступа к техническим средствам и информационным ресурсам ИСПДн;
обеспечивать смену паролей пользователей с периодичностью не реже одного раза в 90 дней; свой собственный пароль администратор безопасности должен изменять не реже одного раза в месяц;
принимать меры по обеспечению внеплановой смены паролей в случае их компрометации или утере аппаратных идентификаторов; сообщать ответственному по организации обработки персональных данных о подобных инцидентах;
выявлять и пресекать действия пользователей, которые могут привести к компрометации паролей и (или) утрате аппаратных идентификаторов.
-
Действия администратора безопасности при компрометации паролей и утрате аппаратных идентификаторов.
Заблокировать доступ пользователя, владельца скомпрометированного пароля и (или) утраченного идентификатора, к ИСПДн.
Выявить действия, произведенные в ИСПДн с использованием скомпрометированных персональных идентификаторов и паролей доступа.
Доложить ответственному по организации обработки ПДн об инциденте и предоставить результаты анализа инцидента.
Совместно с ответственному по организации обработки ПДн определить необходимость расследования инцидента.
Создать и выдать пользователю новый персональный идентификатор и пароль доступа к информационной системе.
-
Заключительные положения.
Пользователи ИСПДн должны быть предупреждены об ответственности за действия с персональными идентификаторами и паролями доступа, нарушающие требования настоящей инструкции.
Пользователи ИСПДн должны быть ознакомлены с настоящей инструкцией до начала работы с ИСПДн под роспись. Обязанность ознакомления пользователей с настоящей инструкцией лежит на ответственном по организации обработки ПДн.
-
Нормативные и правовые документы.
Приказ ФСТЭК России от 18.02.2013 года №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
|
