Действия при компрометации ключей

⇐ ПредыдущаяСтр 11 из 36Следующая ⇒

Если у исполнителя появилось подозрение, что его персональная ключевая дискета попала или могла попасть в чужие руки (была скомпрометирована), он обязан немедленно прекратить (не возобновлять) работу с ключевой дискетой, сообщить об этом ответственному за обеспечение безопасности информации своего подразделения, сдать ему скомпрометированную ключевую дискету, соблюдая обычную процедуру с пометкой в журнале о причине компрометации, написать объяснительную записку о факте компрометации персональной ключевой дискеты на имя начальника подразделения.

В случае утери персональной ключевой дискеты исполнитель обязан немедленно сообщить от этом ответственному за обеспечение безопасности информации своего подразделения, написать объяснительную записку об утере дискеты на имя начальника подразделения и принять участие в служебном расследовании факта утери персональной ключевой дискеты.

Ответственный за обеспечение безопасности информации подразделения обязан немедленно оповестить о факте утраты или компрометации ключевой дискеты уполномоченного сотрудника ЦУКС, для принятия последним действий по блокированию ключей для ЭЦП указанного исполнителя.

По решению руководителя подразделения установленным порядком исполнитель может получить в ЦУКС новый комплект персональных ключевых дискет взамен скомпрометированных.

В случае перевода исполнителя на другую работу, увольнения и т.п. он обязан сдать (сразу по окончании последнего сеанса работы) свою персональную ключевую дискету ответственному за обеспечение безопасности информации своего подразделения под роспись в журнале учёта ключевых дискет. Последний обязан сразу же оповестить об этом уполномоченного сотрудника ЦУКС, для принятия действий по блокированию использования ЭЦП увольняемого исполнителя.

Права исполнителя

Исполнитель должен иметь право обращаться к ответственному за обеспечение безопасности информации своего подразделения за консультациями по вопросам использования ключевой дискеты и по вопросам обеспечения безопасности ИТ.

Исполнитель имеет право требовать от ответственного за обеспечение безопасности информации своего подразделения и от своего непосредственного руководителя создания необходимых условий для выполнения перечисленных выше требований.

Исполнитель имеет ПРАВОпредставлять свои предложения по совершенствованию мер защиты на своем участке работы.

ТЕМА 10

Инструкции по организации парольной и антивирусной защиты

Инструкция по организации парольной защиты

Данная инструкция призвана регламентировать организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на сотрудников подразделения обеспечения безопасности ИТ -администраторов средств защиты, в которых реализованы механизмы идентификации и аутентификации (подтверждения подлинности) пользователей.

Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:

· длина пароля должна быть не менее установленной (обычно 6-8 символов);

· в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #,$,&,*,% и т.п.);

· пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);

· при смене пароля новое значение должно отличаться от предыдущего не менее чем в заданном числе (например в 6-ти) позициях;

· личный пароль пользователь не имеет права сообщать никому.

Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

В случае, если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников подразделения обеспечении безопасности ИТ. Для генерации «стойких» значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самих уполномоченных сотрудников подразделения обеспечении безопасности ИТ, а также ответственных за обеспечение безопасности информации в подразделениях с паролями других сотрудников подразделений организации (исполнителей).

При наличии технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие (например, в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.), такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами своих учетных записей) передавать на хранение ответственному за информационную безопасность подразделения руководителю своего подразделения) в запечатанном конверте или опечатанном пенале. Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для опечатывания конвертов (пеналов) должны применяться личные печати владельцев паролей (при их наличии у исполнителей), либо печать уполномоченного представителя подразделения обеспечения безопасности ИТ.

Полная плановая смена паролей пользователей должна проводиться регулярно, например, не реже одного раза в месяц.

Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу внутри организации и т.п.) должна производиться администраторами соответствующих средств защиты в соответствии с «Инструкцией по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы» немедленно после окончания последнего сеанса работы данного пользователя с системой.

Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) администраторов средств защиты и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой подсистем АС.

В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры по внеплановой смене паролей (в зависимости от полномочий владельца скомпрометированного пароля).

Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за обеспечение безопасности информации или руководителя подразделения в опечатанном личной печатью пенале (возможно вместе с персональными ключевыми дискетами и идентификаторами).

Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за обеспечение безопасности информации в подразделениях руководителей подразделений), периодический контроль - возлагается на сотрудников подразделения обеспечения безопасности ИТ - администраторов средств парольной зашиты.

Дата добавления: 2018-02-28; просмотров: 394; Мы поможем в написании вашей работы!

Поделиться с друзьями:

⇐ Предыдущая 6 7 8 9 101112 13 14 15 Следующая ⇒

Мы поможем в написании ваших работ!