Приложение 3 к приказу Министра образования и науки Республики Казахстан от 2 декабря 2016 года № 685

1. Настоящая Инструкция о парольной защите (далее - Инструкция) в Министерстве образования и науки Республики Казахстан (далее - Министерство) регламентирует организационно-техническое обеспечение процессов генерации, использования, смены и прекращения действия личных паролей пользователей ПК и администраторов информационных систем (ИС), блокирования учетных записей.

2. Эффективность парольной защиты, выполнение требований к ее организации контролируется ДИТ Министерства.

3. В данной Инструкции используются следующие основные понятия и термины:

электронные информационные ресурсы - информация, хранимая в электронном виде (информационные базы данных), содержащаяся в информационных системах;

информационная система - система, включающая совокупность средств и методов, предназначенных для хранения, обработки, поиска и предоставления информации конечному пользователю или устройству;

компрометация пароля - утечка или разглашение пароля;

пользователь - сотрудник Министерства, использующий закрепленный за ним на время выполнения своих должностных обязанностей персональный компьютер, подключенный к корпоративной вычислительной сети и располагающий определенными правами доступа к информационным ресурсам;

ИБ - информационная безопасность.

Сотрудники Департамента информационных технологий (далее - ДИТ) - сотрудники ДИТ, обеспечивающие оказание услуг по технической поддержке и сервисному обслуживанию информационных ресурсов и систем.

4. В целях идентификации, аутентификации и соблюдения принципа персональной ответственности за свои действия, администраторам информационных систем, пользователю присваиваются персональные уникальные имена (учетная запись) с паролями.

5. Для контроля доступа блокированных пользователей используются соответствующие методы аутентификации.

6. Аутентификация блокированных пользователей достигается при использовании средств криптографии, аппаратных средств защиты (маркеров, токенов) или протоколов, поддерживающих метод «отклик-отзыв». Реализация подобных методов находится в различных решениях виртуальной частной сети (VPN). Выделенные частные линии используются для обеспечения доверия к источнику подключений.

7. Аутентификация узла служит альтернативным средством аутентифицирования групп блокированных пользователей там, где они подсоединены к безопасному компьютерному средству совместного использования. Для аутентификации узлов используются криптографические методы, например, основанные на машинных сертификатах. Это является частью нескольких решений, основанных на применении виртуальных частных сетей.

8. Для контроля доступа к беспроводным сетям применяются дополнительные средства контроля аутентификации. Особую осторожность необходимо соблюдать при выборе средств защиты беспроводных сетей вследствие больших возможностей необнаруженного перехвата и внедрения сетевого трафика.

9. Организационное и техническое обеспечение процессов использования, смены и прекращения действия паролей пользователей и администраторов возлагается на сотрудников ДИТ.

10. Контроль за действиями пользователей при работе с паролями возлагается на ДИТ.

11. Личные пароли выбираются пользователями и администраторами ИС самостоятельно с учетом следующих требований:

1) длина пароля должна быть не менее 8 символов;

2) в числе символов пароля обязательно присутствуют буквы в верхнем и нижнем регистрах, цифры и/или специальные символы (%, $, @, &,*, #, ˄ и т.п.), в том числе вводимые через клавишу ALT;

3) запрещается при авторизации пользователя использовать только логин (имя пользователя) без пароля;

4) пароль не включает в себя легко вычисляемые сочетания символов (имена и даты рождения своей личности и своих родственников, номера автомобилей, телефонов и т.д.), которые угадываются, основываясь на информации о пользователе, а также стандартное расположение букв на клавиатуре (zyxwvuts, 123, 123321, qwerty и т.д.);

5) рекомендуется использовать пароли случайного набора символов;

6) запрещается выбирать пароли, которые уже использовались ранее;

7) при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;

8) пользователь не имеет права разглашать свой личный пароль.

12. Ввод пароля осуществляется с учетом регистра (верхний-нижний) и с учетом текущей раскладки клавиатуры (EN-RU и др.).

13. Во время ввода паролей, исключают возможность распознания его посторонними лицами или компрометации пароля посредством технических средств.

14. Автоматический генератор паролей представляет собой программу, которая вырабатывает случайные пароли. В своей простейшей форме она генерирует случайное цифровое значение и кодирует его в виде последовательности печатных символов. Когда блокированный пользователь пытается совершить логический вход в сеть, то ему предлагается ввести его личный персональный номер (PIN), состоящий из 4 десятичных цифр, а также 6 цифр случайного числа, отображаемого в тот момент на дисплее аппаратного ключа. На основе PIN-кода сервер извлекает из базы данных информацию о пользователе, а именно его секретный ключ. Затем сервер выполняет алгоритм генерации случайного числа, используя в качестве параметров найденный секретный ключ и значение текущего времени, и проверяет, совпадает ли сгенерированное число с числом, которое ввел пользователь. Если они совпадают, то пользователю разрешается логический вход.

15. Пользователю при первом входе в систему необходимо сменить временный пароль, заданный сотрудником ДИТ при регистрации пользователя в корпоративной вычислительной сети.

16. В ИС должна быть установлена принудительная смена пароля раз в месяц, вместе с этим пользователь, администратор должен иметь возможность смены пароля в любое время.

17. При этом, сотрудникам ДИТ определить политику смены пароля, предусматривающую срок действия пароля не более одного месяца, выдачу предупреждающего сообщения о необходимости сменить пароль и блокировку доступа к информационным системам по истечению срока действия пароля.

18. Система управления паролированием позволяет:

предписывать использование индивидуальных паролей и пользовательских ID, для обеспечения установления ответственности;

позволять пользователям выбирать и изменять их собственные пароли, а также включать подтверждающую процедуру для учета ошибок ввода;

предписывать выбор высококачественных паролей;

принуждать их к изменению паролей;

вынуждать пользователей изменять временные пароли при первой регистрации;

поддерживать хранение истории предыдущих пользовательских паролей, и предотвращать их повторное использование;

не отображать пароли на экране при их вводе;

хранить файлы паролей отдельно от данных прикладных систем;

хранить и передавать пароли в защищенной форме (например, зашифрованной или хэшированной).

19. Владельцам паролей запрещается:

1) сообщать другим пользователям личный пароль и регистрировать их в системе под своей учетной записью и паролем;

2) записывать пароли в электронной записной книжке, файле и других носителях информации, кроме бумажных носителей, при этом бумажные носители с записями паролей хранятся в надежном и доступном только владельцу месте.

20. Пароли сотрудников ДИТ с именами учетных записей и датой установки паролей хранятся в опечатанных конвертах в сейфе у ДИТ.

21. Пароли пользователей с именами учетных записей и датой установки паролей хранятся в опечатанных конвертах в сейфе у руководителей структурного подразделения.

22. В случае компрометации пароля сотрудник ДИТ должен:

1) немедленно сменить свой пароль;

2) блокировать доступ пользователям, подключенным к ресурсам этой ИС, до смены ими своих паролей;

3) известить ДИТ.

23. В случае компрометации личного пароля, пользователь немедленно производит внеплановую смену пароля и извещает ДИТ.

24. При возникновении производственной необходимости в срочном доступе к данным персонального компьютера временно отсутствующего пользователя разрешается:

1) непосредственному руководителю или другому сотруднику по указанию непосредственного руководителя, вскрыть конверт с паролем и использовать компьютер;

2) произвести смену пароля пользователя его непосредственным руководителем.

25. При этом составляется акт о вскрытии конверта с паролем и о его повторном опечатывании с новым паролем.

26. Учетная запись пользователя, ушедшего в длительный отпуск (более 60 дней), блокируется сотрудником ДИТ с момента получения письменного уведомления от ДИТ.

27. Блокирование учетных записей пользователей, уволенных, переведенных в другое структурное подразделение производится сотрудником ДИТ немедленно с момента получения письменного уведомления из ДИТ.

28. При увольнении, переводе работника в другое структурное подразделение кадровая служба Министерства извещает ДИТ о факте увольнения или перевода сотрудника.

29. Аутентификация некоторых пользователей обеспечивается с использованием специальных защитных аппаратно-программных средств, рекомендованных к использованию ИБ и централизованно закупленных Министерством у разработчиков (поставщиков) указанных средств.