Приказ Федеральной службы по интеллектуальной собственности от 14 июля 2015 г. N 97 "Об утверждении Положения по организации парольной защиты в Федеральной службе по интеллектуальной собственности"

В целях исполнения требований Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и в соответствии со "Специальными требованиями и рекомендациями по технической защите конфиденциальной информации" (СТР-К), утвержденными приказом Государственной технической комиссии при Президенте Российской Федерации от 30 августа 2002 г. N 282, приказываю:

1. Утвердить прилагаемое Положение по организации парольной защиты в Федеральной службе по интеллектуальной собственности.

2. Директору ФИПС (О.И. Стрелков) в соответствии с указанным Положением обеспечить создание и включение в доменах fips и tz политики паролей в срок до 1 сентября 2015 г.

3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Роспатента М.В. Жамойдика.

Положение по организации парольной защиты в Федеральной службе по интеллектуальной собственности
(утв. приказом Федеральной службы по интеллектуальной собственности от 14 июля 2015 г. N 97)

I. Общие положения

1.1. Настоящее Положение регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в локальной вычислительной сети Федеральной службы по интеллектуальной собственности, меры обеспечения безопасности при использовании паролей, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

1.2. В настоящем Положении используются следующие термины и определения:

Локальная вычислительная сеть (ЛВС) - это комплекс оборудования и программного обеспечения, обеспечивающий передачу, хранение и обработку информации;

Автоматизированное рабочее место (АРМ) - это комплекс средств вычислительной техники и программного обеспечения, располагающийся непосредственно на рабочем месте сотрудника и предназначенный для автоматизации его работы в рамках специальности;

Информационная безопасность (ИБ) - обеспечение защищенности информации (ее конфиденциальности, целостности, доступности) от широкого спектра угроз;

Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа;

Учетная запись - информация о сетевом пользователе: имя пользователя, его пароль, права доступа к ресурсам и привилегии при работе в системе. Учетная запись может содержать дополнительную информацию (адрес электронной почты, телефон и т.п.);

Принцип минимальных привилегий - принцип, согласно которому каждому субъекту системы предоставляется минимальный набор полномочий (или минимальный допуск), необходимый для выполнения вверенных задач. Применение этого принципа ограничивает ущерб, наносимый в случае случайного, ошибочного или несанкционированного использования;

Компрометация - утрата доверия к тому, что информация недоступна посторонним лицам;

Ключевой носитель - электронный носитель ( флэш-накопитель, компакт-диск и т.п.), на котором находится ключевая информация (сертификаты и т.п.).

1.3. Требования настоящего Положения являются неотъемлемой частью комплекса мер безопасности и защиты информации в Роспатенте.

1.4. Требования настоящего Положения распространяются на всех работников подразделений, использующих в работе средства вычислительной техники, и должны применяться для всех средств вычислительной техники, эксплуатируемой в Роспатенте.

1.5. Организационное обеспечение процессов генерации, использования, смены и прекращения действия паролей и контроль за действиями исполнителей и обслуживающего персонала ЛВС при работе с паролями возлагается на Отдел организационной и специальной деятельности Роспатента (далее - отдел организационной и специальной деятельности). Техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей возлагается на администратора локальной вычислительной сети (далее - администратора ЛВС) ФГБУ ФИПС.

1.6. Ознакомление всех работников Роспатента, использующих средства вычислительной техники, с требованиями настоящего Положения проводит Отдел организационной и специальной деятельности. При ознакомлении с настоящим Положением внимание работников акцентируется на предупреждении их о персональной ответственности за разглашение парольной информации.

II. Общие требования к паролям

2.1. Пароли доступа к автоматизированным рабочим местам (далее - АРМ) первоначально формируются администратором ЛВС, а в дальнейшем выбираются пользователями самостоятельно, но с учетом требований, изложенных ниже.

2.2. Личные пароли пользователей АРМ Роспатента должны выбираться с учетом следующих требований:

- длина пароля должна быть не менее 8 символов;

- в числе символов пароля обязательно должны присутствовать прописные буквы английского алфавита от А до Z, строчные буквы английского алфавита от а до z, десятичные цифры (от 0 до 10), неалфавитные символы (@, #, $, &, *, % и т.п.). Исключение составляют АРМ Роспатента, в которых использование подобных спецсимволов недопустимо;

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования рабочих станций и т.д.), а также общепринятые сокращения и термины (qwerty, pa$$w0rd и т.п.);

- при смене пароля новый пароль должен отличаться от старого не менее, чем двумя символами.

III. Безопасность локальных учетных записей

3.1. Локальные учетные записи компьютеров (Administrator, Guest) предназначены для служебного использования администратором ЛВС при настройке систем и не предназначены для повседневной работы.

IV. Безопасность доменных учетных записей

4.1. Пользователь несет персональную ответственность за сохранение в тайне личного пароля. Запрещается сообщать пароль другим лицам, а также хранить записанный пароль в общедоступных местах.

4.2. В случае производственной необходимости (командировка, отпуск и т.п.), при проведении работ, требующих знания пароля пользователя, допускается раскрытие значений своего пароля начальникам подразделений. По окончании производственных или проверочных работ работники самостоятельно производят немедленную смену значений "раскрытых" паролей.

4.3. В случае возникновении нештатных ситуаций, форс-мажорных обстоятельств, а также технологической необходимости использования имен и паролей работников (в их отсутствие) допускается изменение паролей администратором ЛВС. В подобных случаях, сотрудники, чьи пароли были изменены, обязаны сразу же после выяснения факта смены своих паролей, создать их новые значения.

4.4. Пароли учетных записей пользователей АРМ должны соответствовать требованиям пункта 2.2 настоящего Положения.

4.5. Полная плановая смена паролей пользователей должна проводиться в срок, не позднее 42 дней после установления предыдущего пароля. Плановая смена должна предусматривать информирование пользователя о необходимости сменить пароль и возможность смены пароля без обращения к администратору ЛВС.

4.6. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение и т.п.) должна производиться администратором ЛВС немедленно после окончания последнего сеанса работы данного пользователя с системой.

4.7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на работу в другое подразделение внутри Роспатента и другие обстоятельства) администратора ЛВС и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой.

4.8. В случае длительного отсутствия пользователя АРМ (командировка, болезнь и т.п.) его учетная запись блокируется, и, в случае необходимости, изменяются права доступа других пользователей в отношении ресурсов данного пользователя.

4.9. В случае компрометации личного пароля пользователя АРМ либо подозрении на компрометацию должны быть немедленно предприняты меры по внеплановой смене личного пароля самим пользователем с немедленным информированием Отдела организационной и специальной деятельности.

4.10. Смена забытого пользовательского пароля производится администратором ЛВС на основании сообщения пользователя с обязательной установкой параметра "Требовать смену пароля при следующем входе в систему".

4.11. Для предотвращения угадывания паролей администратор ЛВС обязан настроить механизм блокировки учетной записи на 20 минут при пятикратном неправильном вводе пароля.

4.12. При возникновении вопросов, связанных с использованием доменных учетных записей, пользователь АРМ обязан обратиться к администратору ЛВС.

V. Временные учетные записи

5.1. Для предоставления временного доступа (для лиц, не являющихся сотрудниками Роспатента, для сотрудников, которым необходимо получить временный доступ) необходимо использовать процедуру временных учетных записей.

5.2. Временная учетная запись - учетная запись, имеющая ограничение по времени действия, имеющая ограниченные права по доступу. Для временных учетных записей проводится подробное протоколирование их использования. Процедура получения временных учетных записей состоит в следующем:

- сотрудник Роспатента через руководителя своего подразделения либо лицо, не являющееся сотрудником Роспатента, через доверенное лицо оформляет соответствующим образом заявку, указав в ней, что требуемая учетная запись временная, определив временные рамки ее использования;

- заявка направляется в Отдел организационной и специальной деятельности для рассмотрения;

- временная учетная запись создается администратором ЛВС;

- пользователь, получивший временную учетную запись, информируется об ограничениях, связанных с ее использованием.

VI. Контроль

6.1. Повседневный контроль за соблюдением требований настоящего Положения заключается в контроле процессов использования и изменения учетных записей, процессов доступа к ресурсам, процессов изменения учетных записей Отделом организационной и специальной деятельности.

6.2. Отдел организационной и специальной деятельности проводит ежеквартальный выборочный контроль выполнения работниками Роспатента требований настоящего Положения. О фактах несоответствия качества паролей или условий обеспечения их сохранности Отдел организационной и специальной деятельности сообщает заместителю руководителя Роспатента в форме служебной записки.

6.3. Контроль за выполнением требований настоящего Положения возлагается на Отдел организационной и специальной деятельности.

VII. Ответственность

7.1. Пользователи АРМ Роспатента несут персональную ответственность за несоблюдение требований по парольной защите.

7.2. Администратор ЛВС, сотрудники Отдела организационной и специальной деятельности несут ответственность за компрометацию и нецелевое использование учетных записей.

7.3. Форма и степень ответственности определяются исходя из вида и размера ущерба, действиями либо бездействием соответствующего пользователя.