ПРАВО.ru
Новости
19 октября 2010, 17:21

МВД запретит в качестве пароля фамилию и имя пользователя Интернета, слова "admin", "administrator"

МВД запретит в качестве пароля фамилию и имя пользователя Интернета, слова "admin", "administrator"
МВД РФ сегодня обнародовало проект приказа «Об утверждении Инструкции по защите персональных данных, содержащихся в АИС органов внутренних дел РФ

МВД РФ сегодня обнародовало проект своего приказа "Об утверждении Инструкции по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации".

В документе говорится, что при создании (модернизации) и эксплуатации ИСПДн организуется разрешительная система доступа разработчиков, пользователей, эксплуатирующего персонала к техническим и программным средствам ИСПДн, а также к ПДн и информационным ресурсам ИСПДн. Пользователям предоставляется право работать только с теми средствами и ресурсами, которые необходимы им для выполнения должностных обязанностей.  Полномочия разработчиков, пользователей и эксплуатирующего персонала на доступ к ПДн и ресурсам ИСПДн устанавливаются оператором ИСПДн (заказчиком ИСПДн) и отражаются в техническом задании на создание (модернизацию) ИСПДн. Регистрация пользователей ИСПДн осуществляется оператором ИСПДн на основании письменного обращения (заявки) руководителя органа внутренних дел, с указанием сведений о сотрудниках, которым необходимо предоставить доступ к ПДн и объема полномочий по обработке ПДн. Оператор ИСПДн направляет руководителям органов внутренних дел, представивших заявки, перечень учетных записей (логинов) и их идентификаторов (паролей) зарегистрированных пользователей ИСПДн. Указанным сведениям присваивается пометка "для служебного пользования".

Список должностных лиц органов внутренних дел, доступ которым к ПДн, обрабатываемым в ИСПДн, необходим для выполнения должностных обязанностей и матрица доступа к ИСПДн, определяющая права доступа должностных лиц к ИСПДн, утверждается приказом их руководителя. Для изменения состава пользователей, имеющих право работы с ИСПДн, оператору направляется заявка на регистрацию, исключение или перерегистрацию пользователей. В случае увольнения (перевода) пользователя (администратора безопасности ИСПДн, администратора ИСПДн) ИСПДн руководитель органа внутренних дел информирует оператора об этом письменно в течение суток после даты издания соответствующего приказа. В подразделении по технической защите информации (ответственным за обеспечение безопасности ПДн) ведется журнал учета персональных идентификаторов и паролей, которому при заполнении присваивается пометка "для служебного пользования". Журнал учета паролей хранится у ответственного за обеспечение безопасности ПДн в опечатываемом сейфе (металлическом шкафу). Он несет персональную ответственность за сохранность журнала и содержащихся в нем сведений.
Журнал учета паролей хранится один год после заполнения, затем уничтожается в установленном порядке.

В случае увольнения (перевода) должностного лица, имевшего непосредственный доступ к журналу учета паролей, все пароли должны быть изменены в течение месяца. Изменение паролей осуществляется ответственным за обеспечение безопасности ПДн (администратором безопасности ИСПДн).
Для этих целей предусматривается формирование следующих уровней паролей: пароль первого уровня — для администрирования СрЗИ ИСПДн;
пароль второго уровня — для системного администратора и администраторов баз и банков данных; пароль третьего уровня — для пользователей ИСПДн.
Запрещается работа пользователей ИСПДн с правами системного администратора, администратора баз и банков данных или администратора безопасности ИСПДн. Длина пароля должна быть не менее: для КП-1 и КП-2 — 8 буквенно-цифровых символов. Смена производиться не реже одного раза в квартал, а также в случае увольнения (перевода) сотрудника; для КП-3 — 6 буквенно-цифровых символов. Смена производиться не реже одного раза в год, а также в случае увольнения (перевода) сотрудника.

Пароли формируются с помощью соответствующего сертифицированного программного обеспечения. Пароли и идентификаторы выдаются ответственным за обеспечение безопасности ПДн пользователю под роспись в Журнале учета паролей. При этом необходимо обеспечить конфиденциальность других паролей (невозможность визуального просмотра), к которым данный пользователь не имеет отношения. Выданные пользователям пароли могут записываться на учтенных носителях информации. В этом случае эти носители информации подлежат хранению в сейфе пользователя, опечатанном его личной номерной печатью.

Учетная запись (логин) составляется из семизначных буквенно-цифровых обозначений включающих в себя краткое наименование органа внутренних дел и номера АРМ ИСПДн, например: "giz1400". Запрещается устанавливать в качестве логина и пароля фамилию, имя или отчество пользователя, слова "admin", "administrator". В ИСПДн и сетевом оборудовании перед вводом в эксплуатацию должны быть сменены все логины и пароли, в том числе установленные при проведении пуско-наладочных, ремонтных (восстановительных) работ и работ по авторскому надзору. В случае утраты пароля необходимо:
работу на АРМ ИСПДн немедленно прекратить; доложить о происшествии руководителю органа внутренних дел, а также оператору ИСПДн, выдавшего логин и пароль; произвести немедленную смену паролей; по решению руководителя подразделения (учреждения) системы МВД России, провести служебную проверку.
Для обеспечения сохранности информационных ресурсов ИСПДн производиться резервное копирование.

Порядок и периодичность проведения резервного копирования и восстановления информации, а также места хранения резервных копий определяется отдельной инструкцией. Передача компонентов ИСПДн на утилизацию производится с демонтированными материальными носителями информации. Данные машинные носители информации уничтожаются установленным порядком с составлением акта об уничтожении. Классификация ИСПДн проводится оператором (заказчиком) ИСПДн на этапе их создания или в ходе эксплуатации с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности ПДн.

Для проведения классификации ИСПДн, определения категорий ПДн и экспертной оценки угроз их безопасности приказом руководителя органа внутренних дел назначается комиссия, в состав которой включаются представители подразделения, эксплуатирующего ИСПДн, а также специалисты подразделения по технической защите информации. При изменении класса ИСПДн необходимо в течение месяца письменно сообщить об этом в уполномоченный орган, который осуществляет в установленном порядке учет информационных ресурсов и систем органов внутренних дел и внутренних войск МВД России.