Распоряжение МЧС России 949 от 14.12.2020 Об организации парольной защиты информации, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных ресурсах МЧС России

МИНИСТЕРСТВО РОССИЙСКОЙ ФЕДЕРАЦИИПО ДЕЛАМ ГРАЖДАНСКОЙ ОБОРОНЫ, ЧРЕЗВЫЧАЙНЫМ СИТУАЦИЯМ И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ СТИХИЙНЫХ БЕДСТВИЙ

(МЧС РОССИИ)

РАСПОРЯЖЕНИЕ

14.12.2020 Москва № 949

Об организации парольной защиты информации, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных ресурсах МЧС России

В целях совершенствования мер по парольной защите информации, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных ресурсах МЧС России, предлагаю:

Утвердить прилагаемый Регламент парольной защиты информации, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных ресурсах МЧС России (далее – Регламент).

Руководителям структурных подразделений центрального аппарата и территориальных органов МЧС России, учреждений и организаций, находящихся в ведении МЧС России (далее – организации МЧС России), довести требования настоящего распоряжения до подчиненных должностных лиц и обеспечить его реализацию.

Руководителям территориальных органов и организаций МЧС России:

а) обеспечить в срок до 01.02.2021 приведение существующих паролей служебных учетных записей сотрудников территориальных органов, организаций МЧС России, программных, программно-аппаратных средств, входящих в состав информационных ресурсов территориальных органов, организаций МЧС России, в соответствие требованиям Регламента;

б) назначить должностных лиц, ответственных за администрирование программных, программно-аппаратных средств, средств защиты информации, входящих в состав информационных ресурсов территориальных органов и организаций МЧС России;

в) назначить должностных лиц, ответственных за защиту информации, не содержащую сведений, составляющих государственную тайну, обрабатываемой в информационных ресурсах территориальных органов и организаций МЧС России.

Федеральному государственному казенному учреждению «Рузский центр обеспечения пунктов управления МЧС России» (в части зоны своей ответственности):

а) назначить должностное лицо (должностных лиц), ответственное за администрирование программных, программно-аппаратных средств, средств защиты информации, входящих в состав информационных ресурсов центрального аппарата МЧС России;

б) обеспечить в срок до 01.02.2021 приведение существующих паролей служебных учетных записей сотрудников структурных подразделений центрального аппарата МЧС России, программных, программно-аппаратных средств, входящих в состав информационных ресурсов центрального аппарата МЧС России, в соответствие требованиям Регламента.

Контроль за исполнением настоящего распоряжения возложить на директора Департамента информационных технологий и связи С.В. Ефименко.

Заместитель Министра В.М. НичипорчукУТВЕРЖДЕН

распоряжением МЧС России

от 14.12.2020 № 949

РЕГЛАМЕНТ

парольной защиты информации, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационныхресурсах МЧС России

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Государственная информационная система – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.

Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационные ресурсы МЧС России – государственные информационные системы, информационные и автоматизированные системы, информационно-телекоммуникационные сети, центры обработки данных, телекоммуникационное оборудование, средства защиты информации, средства вычислительной техники (в том числе мобильные (служебные планшеты, смартфоны и т.д.)), средства отображения информации, средства виртуальной и облачной инфраструктуры, функционирующие в центральном аппарате, территориальных органах и организациях МЧС России.Компрометация пароля – факт доступа постороннего лица к парольной информации, а также подозрение на него.

Локальная вычислительная сеть – группа электронных вычислительных машин, а также периферийное оборудование, объединенные высокоскоростными каналами передачи цифровых данных.

Персональная электронная вычислительная машина – техническое средство, предназначенное для индивидуального пользования в рамках одной сессии с целью автоматической обработки информации в процессе решения вычислительных и информационных задач, средство коммуникации с помощью локальных вычислительных сетей.

Пользователь – должностное лицо МЧС России, а также все другие лица и организации, использующие в работе информационные ресурсы МЧС России.

Средство вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Средства защиты информации – программные, программно-аппаратные средства, предназначенные для обеспечения конфиденциальности, целостности, доступности защищаемой информации.

Средства отображения информации – программные, программно-аппаратные средства, обеспечивающие отображение информации в виде, пригодном для зрительного восприятия.

Центр обработки данных – специализированный объект, представляющий собой связанную систему информационно-телекоммуникационной и инженерной инфраструктуры, оборудование и части которых размещены в здании или помещении, подключенном к внешним сетям, как инженерным, так и телекоммуникационным.

ОБЩИЕ ПОЛОЖЕНИЯ

Настоящим Регламентом устанавливаются требования по обеспечению процессов генерации, смены и прекращения действия паролей в МЧС России, территориальных органах и организациях МЧС России, а также контроля за действиями при работе с паролями пользователей и должностных лиц, ответственных за администрирование программных, программно-аппаратных средств, входящих в состав информационных ресурсов МЧС России (далее – ответственные за администрирование).Требования настоящего Регламента обязательны для выполнения всеми вышеуказанными сотрудниками МЧС России, а также иными лицами, использующими в своей работе информационные ресурсы МЧС России.

Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в МЧС России возлагается на ответственных за администрирование.

Контроль за выполнением требований настоящего Регламента ответственными за администрирование возлагается на должностных лиц, ответственных за защиту информации, не содержащую сведений, составляющих государственную тайну, обрабатываемую в информационных ресурсах МЧС России (далее – ответственные за защиту служебной информации).Аутентификация пользователей также может быть обеспечена с использованием специальных аппаратно-программных средств.

ПРАВИЛА ФОРМИРОВАНИЯ ПАРОЛЕЙ

Пароли служебных учетных записей пользователей доменов локальных вычислительных сетей, персональных электронных вычислительных машин (далее – ПЭВМ), государственных информационных систем, информационных и автоматизированных систем, сайтов МЧС России в информационно-телекоммуникационной сети «Интернет» (далее – сеть Интернет), территориальных органов и организаций МЧС России, в которых осуществляется обработка информации, не содержащей сведения, составляющие государственную тайну, ответственных за администрирование, ответственных за защиту служебной информации, пароли доступа на сетевое, серверное и иное оборудование, пароли служебных учетных записей для доступа к информационным ресурсам (государственным информационным системам, информационным и автоматизированным системам, сайтам в сети Интернет и т.д.) сторонних органов государственной власти, органов государственной власти субъектов Российской Федерации (далее – органы государственной власти), иных организаций должны генерироваться и распределяться централизованно либо вводиться самостоятельно с учетом следующих требований:а) длина пароля должна быть не менее 8 символов;

б) в числе символов пароля обязательно должны присутствовать буквы (как строчные, так и заглавные), специальные символы (@, #, $, &, *, % и т.п.) и цифры;

в) пароль не должен совпадать с именем пользователя (логином) и с обратным его написанием, а также включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ, подразделений, названия городов, автомобилей и т.д.), общепринятые наименования и сокращения (ЭВМ, ЛВС, USER, Password и т.д.), а также последовательные символы на клавиатуре (QWERTY, 123456 и т.д.);г) пароль не должен храниться в электронном виде в текстовых файлах, заметках и т.д.;

д) не допускается для доступа к информационным ресурсам МЧС России, территориальных органов, организаций МЧС России, использовать пароли, совпадающие с паролями доступа к личным учетным записям в сторонних информационных ресурсах (социальные сети, мессенджеры, личные электронные почтовые ящики и т.д.);

е) при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;

ж) личный пароль пользователь не имеет права сообщать кому бы то ни было.

ТРЕБОВАНИЯ К ЕЕНЕРАЦИИ И ВВОДУ ПАРОЛЕЙ

В случае, если генерация и распределение паролей организовано централизованно с использованием программных средств управления доменной архитектурой, ответственными за администрирование должно быть обеспечено формирование паролей в соответствии с требованиями раздела 3 настоящего Регламента и исключение возможности ознакомления самих ответственных за администрирование, ответственных за защиту служебной информации с паролями других пользователей.

Для генерации «стойких» значений паролей могут применяться специальные программные средства.

Ответственные за администрирование должны обеспечить реализацию следующих правил ввода пароля:

а) символы вводимого пароля не должны отображаться на экране в явном виде;

б) учет всех попыток (успешных и неудачных) входа.

Ответственные за администрирование должны обеспечить реализацию следующих правил при первоначальном вводе или смене пароля пользователя:

а) символы вводимого пароля не должны явно отображаться на экране;

б) для подтверждения правильности ввода пароля (с учетом первого правила) – ввод пароля необходимо проводить 2 раза.

Ввод пароля должен осуществляться непосредственно пользователем (владельцем пароля). Пользователю запрещается передавать пароль для ввода другим лицам. Передача пароля для ввода другим лицам является разглашением служебной информации ограниченного распространения и влечет за собой ответственность согласно положениям настоящего Регламента.

Непосредственно перед вводом пароля для предотвращения возможности неверного ввода пользователь должен убедиться в правильности языка ввода (раскладки клавиатуры), проверить, не является ли активной клавиша CAPSLOCK (если это необходимо), а также проконтролировать расположение клавиатуры (клавиатура должна располагаться таким образом, чтобы исключить возможность увидеть набираемый текст посторонними).

При вводе пароля пользователю запрещается проговаривать вслух вводимые символы.

ПОРЯДОК СМЕНЫ ПАРОЛЕЙ

Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в 90 дней.

В случае, если генерация и распределение паролей организовано централизованно с использованием программных средств управления доменной архитектурой, ответственными за администрирование должна быть обеспечена автоматическая смена паролей в установленный срок.

Внеплановая смена личного пароля или блокирование служебной учетной записи пользователя в случае прекращения его полномочий (увольнение, переход на иную должность внутри МЧС России и т.п.) должна производиться ответственными за администрирование немедленно после окончания последнего сеанса работы данного пользователя.

Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую должность внутри МЧС России и другие обстоятельства) ответственных за администрирование и (или) ответственных за защиту служебной информации и других сотрудников, которым по роду служебных обязанностей были предоставлены полномочия по управлению парольной защитой.

В случае компрометации личного пароля пользователем должны быть немедленно предприняты меры по его смене.

ПОРЯДОК ХРАНЕНИЯ ПАРОЛЕЙ

Хранение пользователями значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за защиту служебной информации или руководителя структурного подразделения в опечатанном личной печатью (при наличии) конверте (пенале) вместе с персональными идентификаторами (при наличии).При возникновении производственной необходимости в срочном доступе к ПЭВМ временно отсутствующего пользователя разрешается произвести смену пароля пользователя его непосредственным руководителем. При этом должен быть составлен акт о вскрытии конверта с паролем и о его повторном опечатывании с новым паролем.

ОТВЕТСТВЕННОСТЬ ДОЛЖНОСТНЫХ ЛИЦ

Пользователи должны быть ознакомлены под роспись с требованиями настоящего Регламента и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

Пользователю запрещается разглашать свой пароль за исключением случаев, описанных в настоящем Регламенте. За разглашение парольной информации, которая представляет собой служебную информацию ограниченного распространения, пользователь привлекается к ответственности в соответствии с действующим законодательством Российской Федерации.

Повседневный контроль действий пользователей при работе с паролями, соблюдением порядка их смены, хранения, использования и периодический контроль возлагаются на ответственных за защиту служебной информации.