Данный раздел регламентирует организационно-техническое обеспечение процессов смены и прекращения действия паролей в ИСПДн.
Организационное и техническое обеспечение процессов генерации, учета, выдачи, использования, смены и прекращения действия паролей, возлагается на администратора безопасности.
Личный пароль должен генерироваться и распределяться централизованно администратором безопасности с учетом следующих требований:
- длина пароля должна быть не менее 6 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;
- личный пароль пользователь не имеет права сообщать никому.
Владелец пароля должен быть ознакомлен под роспись с перечисленными выше требованиями и предупрежден об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации и утерю индивидуального идентификатора.
Смена паролей пользователя должна проводиться при смене пользователя.
Внеплановая смена личного пароля или удаление учетной записи пользователя в случае компрометации личного пароля, утери личного идентификатора или прекращения полномочий пользователя (увольнение, переход на другую работу внутри Депфина Югры и т.п.) должна производиться немедленно после окончания последнего сеанса работы данного пользователя в ИСПДн администратором безопасности на основании служебной записки лица, ответственного за обработку персональных данных.
Контроль за действиями пользователей ИСПДн при работе с паролями, соблюдением порядка их смены, хранением и использованием возлагается на администратора безопасности.