Организационное и техническое обеспечение смены, прекращения действия паролей в ИСПДн, процессов генерации и использования возлагается в пределах полномочий на работников подразделения ИТ и администратора ИБ, сопровождающего механизмы идентификации и аутентификации (подтверждения подлинности) работников по значениям паролей.
При использовании паролей в ИСПДн выполняются следующие правила:
пароли обязаны меняться с установленной периодичностью в соответствии с требованиями организационно-распорядительного документа Росреестра, но не реже 1 раза в 3 месяца;
пароль имеет не менее 6 символов и содержит буквенные и цифровые символы;
обязательно применение индивидуальных паролей;
применение групповых паролей не допускается;
при создании пароля работника администратором ИБ предусматривается его автоматическое изменение самим работником после первого же его входа в ИСПДн;
для предотвращения повторного использования паролей ведется их учет (запись) за предыдущие 12 месяцев;
при вводе пароль не выдается на монитор компьютера в явном виде;
пароли могут храниться только на АРМ владельца пароля в зашифрованном виде с использованием стойких алгоритмов шифрования. Файл с паролями хранится отдельно от системных приложений;
рекомендуется использование возможностей ОС по контролю за периодичностью смены (не реже 1 раза в 3 месяца), составом символов и недопущением повторений паролей.
Контроль за действиями работников ИСПДн при работе с паролями возлагается на администратора ИБ в пределах своих полномочий.
При использовании паролей запрещается:
использовать в качестве пароля свои имя, фамилию, дату рождения, имена родственников, кличку собаки и т.п., равно как и обычные слова;
использовать в качестве пароля русское слово, введенное при нахождении клавиатуры в латинском регистре;
использовать в качестве пароля легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ), а также общепринятые сокращения;
использовать в качестве пароля "пустой" пароль, имя входа в систему, а также выбирать пароли, которые уже использовались ранее;
записывать пароль на неучтенных бумажных носителях информации;
разглашать кому бы то ни было свои персональные пароли доступа.
Владельцы паролей ознакамливаются с перечисленными требованиями организации парольной защиты в ЦА/ТО Росреестра с проставлением собственноручно подписи в листе ознакомления с соответствующей документированной процедурой и предупреждаются об ответственности за использование паролей, не соответствующих установленным требованиям, а также за разглашение парольной информации.