Приложение №1 к приказу Президента АО «Национальный центр по управлению персоналом государственной службы» от 2014г.№ ИНСТРУКЦИЯ о парольной защите в Агентстве Республики Казахстан по делам государственной службы и АО «Национальный центр по управлению персоналом государственной службы» 1. Общие положения 1.1. Настоящая Инструкция (далее - Инструкция) о парольной защите в Агентстве Республики Казахстан по делам государственной службы (далее – АДГС РК) и АО «Национальный центр по управлению персоналом государственной службы» (Далее Общество) регламентирует организационно-техническое обеспечение процессов генерации, использования, смены и прекращения действия личных паролей пользователей ПК и администраторов информационных систем (ИС), удаления учетных записей. 1.2. В данной Инструкции используются следующие основные понятия и термины: информационные ресурсы - электронная систематизированная информация (база данных), содержащаяся в информационных системах, объединенная соответствующим программным обеспечением; компрометация пароля - утечка или разглашение пароля; пользователь - сотрудник АДГС РК либо Общества, использующий закрепленный за ним на время выполнения своих должностных обязанностей персональный компьютер, подключенный к локальной вычислительной сети и располагающий определенными правами доступа к информационным ресурсам; 1.3. В целях идентификации, аутентификации и соблюдения принципа персональной ответственности за свои действия, пользователям присваиваются персональные уникальные имена (учетная запись) с паролями. 1.4. Эффективность парольной защиты, выполнение требований к ее организации на рабочих станциях локальной вычислительной сети Общества и АДГС выполняется Управлением технической поддержки (далее – Техподдержка) и контролируется Управлением информационной безопасности и администрирования (далее – Служба Информационной Безопасности - СИБ) Общества. 1.5. Эффективность парольной защиты, выполнение требований к ее организации на рабочих станциях входящих в сеть тестирования кандидатов на государственную службу выполняется и контролируется СИБ Общества. 1.6. Эффективность парольной защиты, выполнение требований к ее организации на серверах, сетевом оборудовании, базе данных ИС выполняется и контролируется СИБ Общества. 1.7. Контроль за исполнением политики парольной защиты возлагается на начальника СИБ. 2. Правила формирования пароля Пароли должны соответствовать следующим требованиям: 1) длина пароля должна быть не менее 6 символов; 2) в числе символов пароля обязательно должны присутствовать буквы в разных регистрах и цифры; 3) запрещается при авторизации пользователя использовать только логин (имя пользователя) без пароля; 4) пароль не должен включать в себя легко вычисляемые сочетания символов (имена и даты рождения своей личности и своих родственников, номера автомобилей, телефонов и т.д.), которые можно угадать, основываясь на информации о пользователе, а также стандартное расположение букв на клавиатуре (zyxwvuts, 123, 123321, qwerty и т.д.); 5) рекомендуется использовать пароли случайного набора символов; 6) запрещается выбирать пароли, которые уже использовались ранее; 7) при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях; 8) пользователь не имеет права разглашать свой личный пароль. 2.1. 3. Ввод пароля 3.1. Ввод пароля осуществляется с учётом регистра (верхний-нижний) и с учётом текущей раскладки клавиатуры (EN-RU и др.). 3.2. Во время ввода паролей, необходимо исключить возможность распознания его посторонними лицами или компрометации пароля посредством технических средств. 4. Порядок смены паролей 4.1. Для смены пароля пользователь обращается в службу Техподдержки. 4.2. Пользователь рабочей станции совместно с сотрудником службы Техподдержки производит смену пароля учетной записи на своей рабочей станции. 4.3. Сотрудник Техподдержки передает новый пароль системному администратору СИБ для регистрации пользователя и его нового пароля в соответствующей сети. 2 4.4. Смена пароля на серверах и коммутаторах осуществляется уполномоченным лицом Общества (системный администратор СИБ) не реже 1 раза в неделю. 4.5. Смена пароля на базах данных ИС осуществляется уполномоченным лицом Общества (администратор БД СИБ) не реже 1 раза в неделю. 5. Хранение пароля Владельцам паролей запрещается: 1) сообщать другим пользователям личный пароль и регистрировать их в системе под своей учетной записью и паролем; 2) записывать пароли в электронной записной книжке, файле и других носителях информации, кроме бумажных носителей, при этом бумажные носители с записями паролей должны храниться в надежном и доступном только владельцу месте. 5.2. Пароли пользователей рабочих станций с именами учетных записей и датой установки паролей должны храниться в электронном виде у системного администратора СИБ. 5.3. Пароли серверов, коммутаторов, базы данных запечатывается в бумажном виде в конверт, подписывается руководителем Общества, и хранится в сейфе в серверном помещении. 5.4. В случае компрометации пароля сотрудник должен: 1) известить Техподдержку; 2) известить СИБ; 3) блокировать доступ пользователям, подключенным к ресурсам этой ИС, до смены пароля; 5.5. При возникновении производственной необходимости в срочном доступе к данным персонального компьютера временно отсутствующего пользователя разрешается: 1) непосредственному руководителю или другому сотруднику по указанию непосредственного руководителя, запросить ввод пароля системным администратором и использовать компьютер; 2) произвести смену пароля (с помощью Техподдержки и СИБ) пользователя его непосредственным руководителем. Ответственность за неразглашение полученного пароля и действия, произведенные на персональном компьютере, возлагается на лицо, получившее пароль после такого случая. По прибытию, временно отсутствующий пользователь обязан сменить пароль (с помощью Техподдержки и СИБ) при первом входе в систему. 5.6. Учетная запись пользователя, ушедшего в длительный отпуск (более 60 дней), блокируется сотрудником Техподдержки и СИБ с момента получения письменного уведомления от кадровой службы АДГС РК (Общества). 5.7. Удаление учетных записей пользователей, уволенных, переведенных в другое структурное подразделение, филиал производится системным 5.1. 3 администратором СИБ с момента получения письменного уведомления из кадровой службы АДГС РК (Общества). В течение 24 часов после увольнения, перевода работника в другое структурное подразделение, филиал кадровая служба АДГС РК (Общества) извещает Техподдержку и СИБ о состоявшемся приказе. 5.8. Аутентификация некоторых пользователей может быть обеспечена с использованием специальных защитных аппаратно-программных средств, рекомендованных к использованию Техподдержкой СИБ и централизованно закупленных АДГС РК (Обществом) у разработчиков (поставщиков) указанных средств. 6. Ответственность при организации парольной защиты 6.1. Работники АДГС РК (Общества) должны быть ознакомлены под роспись с настоящей инструкцией и предупреждены об ответственности за использование паролей, не соответствующих предъявленным требованиям, а также за разглашение парольной информации. 6.2. За разглашение парольной информации, которая представляет конфиденциальные сведения АДГС РК (Общества), работник привлекается к дисциплинарной ответственности в соответствии с нормативными актами АДГС РК (Общества). 4 Приложение 1 к Инструкции о парольной защите АДГС и Общества ЛИСТ ОЗНАКОМЛЕНИЯ Должность Фамилия, инициалы Дата Роспись 5