Положение по организации парольной защиты автоматизированной системы Предприятия Утверждаю




Скачать 109.49 Kb.
НазваниеПоложение по организации парольной защиты автоматизированной системы Предприятия Утверждаю
Дата публикации26.02.2013
Размер109.49 Kb.
ТипДокументы
shkolnie.ru > Информатика > Документы


ЗАО «Рога и Копыта»
Положение по организации парольной защиты автоматизированной системы Предприятия



Утверждаю:

Генеральный директор

_______________ З.К.Бржпржатский

« » _______________ 200__ г.



Положение по организации парольной защиты автоматизированной системы Предприятия



  1. ОБЩИЕ ПОЛОЖЕНИЯ




    1. Данное положение регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе Предприятия (далее АС Предприятия), меры обеспечения безопасности при использовании паролей, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

    2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС Предприятия, и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на сотрудников отдела информационной безопасности (отдела ИБ).

    3. Термины и определения:

^ Автоматизированная система (АС) - совокупность программных и аппаратных средств, предназначенных для хранения, передачи и обработки данных и информации и производства вычислений.

^ Информационная безопасность (ИБ) – обеспечение защищенности информации (ее конфиденциальности, целостности, доступности) от широкого спектра угроз с целью обеспечения непрерывности бизнеса, минимизации рисков бизнеса и максимального увеличения возможностей бизнеса.

^ Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.

Учетная запись - информация о сетевом пользователе: имя пользователя, его пароль, права доступа к ресурсам и привилегии при работе в системе. Учетная запись может содержать дополнительную информацию (адрес электронной почты, телефон и т.п.).

^ Принцип минимальных привилегий - принцип, согласно которому «каждому субъекту системы предоставляется минимальный набор полномочий (или минимальный допуск), необходимый для выполнения вверенных задач. Применение этого принципа ограничивает ущерб, наносимый в случае случайного, ошибочного или несанкционированного использования.

Компрометация – утрата доверия к тому, что информация недоступна посторонним лицам.

Ключевой носитель – электронный носитель (дискета, флэш-накопитель, компакт-диск и т.п.), на котором находится ключевая информация (сертификаты и т.п.).


  1. ^ ОБЩИЕ ТРЕБОВАНИЯ К ПАРОЛЯМ




  1. Личные пароли пользователей автоматизированной системы Предприятия должны выбираться с учетом следующих требований:

  • длина пароля должна быть не менее 8 символов;

  • в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и (или) специальные символы (@, #, $, &, *, % и т.п.). Исключение составляют подсистемы АС Предприятия, в которых использование подобных спецсимволов недопустимо;

  • пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования рабочих станций и т.д.), а также общепринятые сокращения и термины (qwerty, pa$$w0rd, и т.п.).

  • при смене пароля новый пароль должен отличаться от старого не менее, чем двумя символами;

  1. Пароли служебных и привилегированных учетных записей автоматизированной системы должны выбираться с учетом следующих требований:

  • длина пароля должна быть не менее 12 символов;

  • в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и (или) специальные символы (@, #, $, &, *, % и т.п.). Исключение составляют подсистемы АС Предприятия, в которых использование подобных спецсимволов недопустимо;

  • пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования рабочих станций и т.д.), а также общепринятые сокращения и термины (qwerty, pa$$w0rd, и т.п.), пароль не должен быть словом русского либо английского языка, в котором заменены некоторые символы (o->0,s->$, a->@ и т.п.).

  • при смене пароля новый пароль должен отличаться от старого не менее, чем четырьмя символами, расположенными неподряд;

  • при создании паролей служебных учетных записей возможно использование специализированного программного обеспечения для генерации сложных для подбора легкозапоминаемых паролей.



  1. ^ БЕЗОПАСНОСТЬ ЛОКАЛЬНЫХ УЧЕТНЫХ ЗАПИСЕЙ



    1. локальные учетные записи компьютеров (Administrator, Guest) предназначены для служебного использования сотрудниками отдела ИБ при настройке систем и не предназначены для повседневной работы;

    2. создание и использование локальных учетных записей на рабочих станциях, подключенных к АС Предприятия и входящих в состав домена, либо в состав какого-либо из его поддоменов пользователям ЗАПРЕЩЕНО;

    3. встроенная учетная запись Guest (Гость) должна быть заблокирована на всех рабочих станциях в составе АС Предприятия при первоначальном конфигурировании операционной системы;

    4. встроенная учетная запись Administrator (Администратор) должна быть переименована и защищена паролем согласно п. 2.2. настоящей инструкции;

    5. Использование локальных учетных записей на мобильных компьютерах АС Предприятия всилу невозможности их работы в домене регламентируется инструкцией «по работе с мобильными устройствами».




  1. ^ БЕЗОПАСНОСТЬ ДОМЕННЫХ УЧЕТНЫХ ЗАПИСЕЙ






  1. создание, изменение, удаление доменных учетных записей, а также учетных записей сервисов АС Предприятия (корпоративная электронная почта и др.) необходимо производить в соответствии с инструкцией «о порядке действий технического персонала при предоставлении, изменении и прекращении действия полномочий пользователей на доступ к ресурсам автоматизированной системы Предприятия»;

  2. пользователь несет персональную ответственность за сохранение в тайне личного пароля. Запрещается сообщать пароль другим лицам, а также записывать его где бы то ни было;

  3. пароли учетных записей пользователей АС должны соответствовать требованиям п. 2.1. Настоящего Положения;

  4. к управлению доменными учетными записями пользователей необходимо подходить исходя из принципа «минимальных привилегий», т.е. пользователь не должен иметь прав доступа как к локальной системе, так и к ресурсам АС больше, чем это необходимо ему для выполнения своих должностных обязанностей;

  5. полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в 3 месяца. Плановая смена должна предусматривать информирование пользователя о необходимости сменить пароль и возможность смены пароля без обращения к администратору отдела ИБ;

  6. внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение и т.п.) должна производиться уполномоченными сотрудниками отдела ИБ немедленно после окончания последнего сеанса работы данного пользователя с системой;

  7. внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри территориального органа Предприятия и другие обстоятельства) сотрудников отдела ИБ и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой подсистем АС;

  8. в случае длительного отсутствия пользователя АС (командировка, болезнь и т.п.) его учетная запись блокируется, и, в случае необходимости, изменяются права доступа других пользователей в отношении ресурсов данного пользователя в соответствии с положениями инструкции «о порядке действий технического персонала при предоставлении, изменении и прекращении действия полномочий пользователей на доступ к ресурсам автоматизированной системы Предприятия»;

  9. в случае компрометации личного пароля пользователя АС либо подозрении на компрометацию должны быть немедленно предприняты меры по внеплановой смене личного пароля самим пользователем с немедленным информированием руководителя подразделения либо сотрудников отдела ИБ;

  10. смена забытого пользовательского пароля производится системным администратором на основании заявки пользователя путем ввода пользователем нового пароля в специальной консоли в присутствии системного администратора;

  11. для предотвращения угадывания паролей системный администратор обязан настроить механизм блокировки учетной записи на 20 минут при пятикратном неправильном вводе пароля;

  12. при возникновении вопросов, связанных с использованием доменных учетных записей пользователь АС обязан обратиться в отдел ИБ Предприятия.



  1. ^ ВРЕМЕННЫЕ УЧЕТНЫЕ ЗАПИСИ



    1. для предоставления временного доступа к ресурсам АС Предприятия (для лиц, не являющихся сотрудниками Предприятия, для сотрудников, которым необходимо получить временный доступ к ресурсам АС, и .т.п.) необходимо использовать процедуру временных учетных записей.

    2. временная учетная запись – учетная запись, имеющая ограничение по времени действия, имеющая ограниченные права по доступу. Для временных учетных записей проводится подробное протоколирование их использования. Процедура получения временных учетных записей состоит в следующем:

- сотрудник Предприятия через руководителя своего подразделения либо лицо, не являющее сотрудником Предприятия через доверенное лицо на Предприятии оформляет соответствующим образом Заявку «на внесение изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам АС Предприятия», указав в заявке, что требуемая учетная запись временная и определив временные рамки ее использования.

- заявка направляется начальнику отдела информационной безопасности Предприятия для рассмотрения;

- временная учетная запись создается уполномоченным сотрудником отдела ИБ соответствующим образом;

- пользователь, получивший временную учетную запись информируется об ограничениях, связанных с ее использованием.

    1. для рассмотрения вопросов, связанных с использованием временных учетных записей необходимо обращаться в отдел ИБ Предприятия.



  1. ^ БЕЗОПАСНОСТЬ СЛУЖЕБНЫХ И ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ



    1. к служебным учетным записям относятся учетные записи, используемые службами либо техническим персоналом АС для доступа к ресурсам, необходимым для выполнения их функций. К привилегированным учетным записям относятся учетные записи, используемые для управления работой АС.

    2. требования п. 2.2. Настоящего Положения относятся ко всем служебным и привилегированным учетным записям АС Предприятия. Пароли служебных учетных записей необходимо менять не реже, чем раз в месяц;

    3. при использовании привилегированных учетных записей (администратора) необходимо руководствоваться принципом «минимальных привилегий», т.е. привилегии администратора должны использоваться только администратором и только если выполняемая задача требует наличия таких привилегий;

    4. использование привилегированных учетных записей в повседневной работе, не связанной с необходимостью их использования (установка, конфигурирование, восстановление и т.п. операционной системы и сервисов) недопустимо, в случае необходимости запуска программы с правами Администратора пользователь обязан использовать команду «Run As..» либо «вторичный вход в систему»;

    5. учетная запись администратора домена должна использоваться только при установке, конфигурировании, восстановлении контроллера домена и иных действиях, при которых использование других учетных записей невозможно. Для этой учетной записи необходимо подробное протоколирование всех событий ее использования, а также немедленное расследование любого нецелевого ее использования;

    6. использование принципа «минимальных привилегий» необходимо для служб и сервисов, выполняющихся на серверах АС Предприятия, т.е. службы и сервисы должны работать с минимально возможными для их корректной работы привилегиями исходя из следующей иерархии:

  • локальная служба.

  • сетевая служба.

  • уникальная учетная запись локального пользователя.

  • уникальная учетная запись пользователя домена.

  • локальная система

  • учетная запись локального администратора.

  • учетная запись администратора домена.

    1. к серверам высокой степени безопасности (контроллеры домена, серверы баз данных, иные серверы, от которых зависит бесперебойная работа АС Предприятия) необходимо предъявлять повышенные требования к минимизации привилегий доступа со стороны как удаленных, так и локальных пользователей и служб;

    2. пароли служебных учетных записей устройств, не входящих в AD (маршрутизаторы, аппаратные межсетевые экраны и т.п.) необходимо хранить запечатанном конверте у начальника отдела ИБ. При смене паролей конверт со старыми паролями уничтожается;

    3. в случае компрометации, либо подозрении на компрометацию привилегированной учетной записи необходима внеплановая смена паролей всех зависящих от нее учетных записей.



  1. ^ АППАРАТНЫЕ СРЕДСТВА АУТЕНТИФИКАЦИИ



    1. для повышения степени защиты критически важных объектов АС Предприятия (рабочие станции и мобильные компьютеры с информацией высокой степени конфиденциальности, иные объекты) от несанкционированного доступа необходимо использование двухфакторной аутентификации (по паролю и предмету – далее ключевой носитель информации);

    2. каждому пользователю АС Предприятия, для которого предусмотрена двухфакторная аутентификация, выдается персональный ключевой носитель информации, который учитывается отделом ИБ установленным образом (однозначное сопоставление ключевого носителя и его владельца);

    3. ключевые носители информации маркируются отделом информационной безопасности Предприятия установленным образом (уникальный номер ключевого носителя);

    4. в случае прекращения необходимости использования персонального ключевого носителя (увольнение пользователя, прекращение функционирования объекта, для аутентификации на котором носитель использовался и т.п.) информация с данного носителя стирается установленным образом, либо уничтожается сам носитель в случае невозможности его очистки;

    5. пользователям АС Предприятия категорически запрещается оставлять без личного присмотра, а также передавать другим лицам персональные ключевые носители, сообщать коды от персонального ключевого носителя, если таковые имеются;

    6. в случае утраты персонального ключевого носителя пользователь обязан немедленно сообщить об инциденте руководителю своего подразделения либо начальнику отдела ИБ. При возникновении подобного инцидента необходимо незамедлительно принять меры для недопущения несанкционированного использования утраченного персонального ключевого носителя.



  1. КОНТРОЛЬ



    1. повседневный контроль за соблюдением требований данного Положения заключается в протоколировании процессов использования и изменения учетных записей, процессов доступа к ресурсам, процессов изменения учетных записей и предоставления доступа к ресурсам АС.

    2. периодический контроль за соблюдением требований данного Положения заключается в регулярном контроле процедур протоколирования и анализе журналов протоколирования процессов п. 8.1. Настоящего Положения.

    3. контроль за выполнением требований данного Положения возлагается на сотрудников отдела ИБ.




  1. ОТВЕТСТВЕННОСТЬ




    1. Пользователи АС Предприятия несут персональную ответственность за несоблюдение требований по парольной защите;

    2. Сотрудники отдела ИБ несут ответственность за компрометацию и нецелевое использование привилегированных учетных записей;

    3. Форма и размер ответственности определяются исходя из вида и размера ущерба, нанесенного ресурсам АС Предприятия действиями либо бездействием соответствующего пользователя.


Начальник отдела информационной безопасности ЗАО «Рога и Копыта»

__________________ ( П.П.Козлов ) "_____"____________200_г.



Похожие:

Положение по организации парольной защиты автоматизированной системы Предприятия Утверждаю iconИнструкция по организации парольной защиты
ОУ, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями
Положение по организации парольной защиты автоматизированной системы Предприятия Утверждаю iconИнструкция пользователю автоматизированной системы общие обязанности...
Ений организации, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий...
Положение по организации парольной защиты автоматизированной системы Предприятия Утверждаю iconДолжностная инструкция  начальника отдела автоматизированной системы  управления производством
...
Положение по организации парольной защиты автоматизированной системы Предприятия Утверждаю iconКонцепция обеспечения безопасности информации в автоматизированной системе организации
Приложение: Перечень нормативных документов, регламентирующих деятельность в области защиты информации в 1 экз
Положение по организации парольной защиты автоматизированной системы Предприятия Утверждаю iconТехническое задание на создание Автоматизированной информационно-измерительной...
Автоматизированной информационно-измерительной системы коммерческого учёта электроэнергии (аиис куэ)
Положение по организации парольной защиты автоматизированной системы Предприятия Утверждаю icon1. 6 Разработка информационной модели системы
Проектирование базы данных для любой автоматизированной системы разделяется на следующие этапы
Положение по организации парольной защиты автоматизированной системы Предприятия Утверждаю iconПоложение об автоматизированной информационной системе «Сетевой город. Образование»
Кингисеппского района, подведомственных Комитету по образованию администрации муниципального образования «Кингисеппский муниципальный...
Положение по организации парольной защиты автоматизированной системы Предприятия Утверждаю iconБалтийская государственная академия рыбопромыслового флота «Утверждаю»...
Приложение г лицензия на осуществление розничной продажи алкогольной продукции
Положение по организации парольной защиты автоматизированной системы Предприятия Утверждаю iconТарифы, утвержденные в соответствии с Договором №21/11 от 01. 01. 2011г
Обслуживание аппз (автоматизированной противопожарной защиты) (при наличии в составе общего имущества в многоквартирном доме)
Положение по организации парольной защиты автоматизированной системы Предприятия Утверждаю iconТема: Разработка автоматизированной системы «Мебельный центр»

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2014
shkolnie.ru
Главная страница