«Утверждена
приказом администрации Губернатора
Брянской области и Правительства
Брянской области
от 23 апреля 2019 г. № 182-пр
Инструкция
по организации парольной защиты в администрации Губернатора Брянской области и Правительства Брянской области
1. Настоящая Инструкция по организации парольной защиты в администрации Губернатора Брянской области и Правительства Брянской области предназначена для государственных гражданских служащих Брянской области, замещающих должности государственной гражданской службы Брянской области в администрации Губернатора Брянской области и Правительства Брянской области (далее – администрация), и работников администрации, замещающих должности, не являющиеся должностями государственной гражданской службы Брянской области (далее – пользователи).
2. Настоящая Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (блокирование или удаления учетных записей пользователей) на автоматизированных рабочих местах администрации.
3. Первоначальные пароли доступа выдаются пользователям лицом, ответственным за информационную безопасность (далее – администратор безопасности). При первом входе в систему происходит запрос нового пароля пользователя, соответствующего правилам формирования паролей.
4. Правила формирования пароля:
пароль не может содержать имя учетной записи пользователя или какую-либо его часть;
пароль должен состоять не менее чем из 12 символов;
в числе символов пароля обязательно должны присутствовать символы трех категорий из числа следующих четырех:
а) прописные буквы английского алфавита от A до Z;
б) строчные буквы английского алфавита от a до z;
в) десятичные цифры (от 0 до 9);
г) специальные символы, не принадлежащие алфавитно-цифровому набору (@, #, $, &, *, % и т.п.);
запрещается использовать в качестве пароля имя входа в систему простые пароли типа «123», «111», «qwerty», «zxcvb», «qazxswedc» и им подобные, а также свое имя и дату рождения, имена и даты рождения своих родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе;
запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;
запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (1234567, qwerty и т.п.);
при смене пароля новое значение должно отличаться от предыдущего не менее чем в четырех позициях;
запрещается выбирать пароли, которые уже использовались ранее;
личный пароль пользователь не имеет права никому сообщать;
периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 90 календарных дней.
5. Количество неудачных попыток входа в систему, приводящее к блокировке учетной записи пользователя, должно быть не более трех. Разблокирование учетной записи и сброс пароля на первоначальный осуществляется администраторами безопасности.
6. После 15 минут бездействия (неактивности) пользователя должно происходить автоматическое блокирование сеанса доступа. Блокирование сеанса доступа пользователя в операционную систему должно сохраняться до прохождения им повторной идентификации и аутентификации.
7. Порядок смены пароля:
полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в три месяца;
полная внеплановая смена паролей должна производиться в случае компрометации личного пароля администратора или администраторов безопасности;
в случае компрометации личного пароля пользователя надлежит немедленно ограничить доступ к информации с данной учетной записи до момента вступления в силу новой учетной записи пользователя или пароля.
8. Правила ввода пароля:
ввод пароля должен осуществляться с учетом регистра, в котором пароль был задан;
во время ввода паролей необходимо исключить произнесение его вслух, возможность его подсматривания посторонними лицами или техническими средствами (видеокамерами и др.).
9. Правила хранение пароля:
запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах;
запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
10. Лица, использующие парольную защиту, обязаны:
четко знать и строго выполнять требования настоящей Инструкции и других руководящих документов в части обеспечения информационной безопасности;
своевременно сообщать администратору безопасности, администраторам об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.»