text

Бесплатный вебинар 19 октября >>>

Справочник руководителя дошкольного учреждения

Парольная защита персональных данных

  • 24 октября 2012
  • 2123

Какие требования предъявляются к организации парольной защиты информации в образовательном учреждении?

Организационное и техническое обеспечение процессов использования, смены и прекращения действия паролей, а также контроль работы с паролями в образовательном учреждении целесообразно поручить системному администратору.

Личные пароли желательно генерировать и распределять централизованно. Однако пользователи информационной системы могут выбирать их самостоятельно с учетом следующих требований:

  1. длина пароля должна быть не менее 8 символов;
  2. среди символов обязательно должны присутствовать буквы (в верхнем и нижнем регистрах) и цифры;
  3. пароль не должен содержать легко вычисляемые сочетания символов (имена, фамилии, известные названия, жаргонные слова и т. д.), последовательности символов и знаков, общепринятые сокращения, аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие сочетания букв и знаков, которые можно угадать, основываясь на информации о пользователе;
  4. личный пароль пользователь не имеет права сообщать никому.

В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за их правильность возлагается на системного администратора образовательного учреждения.

При наличии технологической необходимости использования пароля работника в его отсутствие, рекомендуется при первой же возможности поменять пароль и передать его на хранение лицу, ответственному за информационную безопасность, в запечатанном конверте. Опечатанные конверты с паролями должны храниться в сейфе.

Смену паролей рекомендуется проводить регулярно, не реже одного раза в три месяца.

В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т. п.) системный администратор должен удалить его учетную запись сразу же после окончания последнего сеанса работы с информационной системой.

Срочная (внеплановая) смена паролей должна производиться в случае прекращения полномочий администраторов информационной системы и других сотрудников, которым были предоставлены полномочия по управлению парольной защитой.

В образовательном учреждении рекомендуется разработать инструкцию по организации парольной защиты информации, с которой владельцы паролей должны быть ознакомлены под роспись. В инструкции необходимо определить меры безопасности, соблюдение которых позволит не допустить утечки информации. Приведем возможную формулировку.
Запрещается записывать пароли на бумаге, в файле и других носителях информации. При вводе пароля пользователь не должен произносить его вслух.

Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
Хранение пароля на бумажном носителе допускается только в сейфе.

Владельцы паролей должны быть предупреждены об ответственности за использование паролей, не соответствующих установленным в учреждении требованиям, а также за разглашение парольной информации.

Официальный источник

  • Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 17.11.2007 № 781

Каким образом осуществляется мониторинг информационной безопасности автоматизированных систем, обрабатывающих персональные данные в образовательном учреждении? Мониторинг работоспособности аппаратных компонентов автоматизированных систем, обрабатывающих персональные данные, осуществляется в процессе их администрирования и при проведении работ по техническому обслуживанию оборудования. Наиболее существенные компоненты системы (серверы, активное сетевое оборудование) должны контролироваться постоянно в рамках работы администраторов соответствующих систем.

Мониторинг парольной защиты предусматривает: установление сроков действия паролей (не более 3 месяцев); периодическую (не реже 1 раза в месяц) проверку пользовательских паролей на количество символов и очевидность с целью выявления слабых паролей, которые легко угадать или дешифровать с помощью специализированных программных средств (взломщиков паролей).

Мониторинг целостности программного обеспечения включает следующие действия:

  1. проверку контрольных сумм и цифровых подписей каталогов и файлов сертифицированных программных средств при загрузке операционной системы;
  2. обнаружение дубликатов идентификаторов пользователей;
  3. восстановление системных файлов администраторами систем с резервных копий при несовпадении контрольных сумм.

Предупреждение и своевременное выявление попыток несанкционированного доступа осуществляется с использованием средств операционной системы и специальных программных средств и предусматривает:

  1. фиксацию неудачных попыток входа в систему в системном журнале;
  2. протоколирование работы сетевых сервисов;
  3. выявление фактов сканирования определенного диапазона сетевых портов в короткие промежутки времени с целью обнаружения сетевых анализаторов, изучающих систему и выявляющих ее уязвимости.

Мониторинг производительности автоматизированных систем, обрабатывающих персональные данные, производится по обращениям пользователей, в ходе администрирования систем и проведения профилактических работ для выявления попыток несанкционированного доступа, повлекших существенное уменьшение производительности систем.

Системный аудит производится ежеквартально и в особых ситуациях. Он включает проведение обзоров безопасности, тестирование системы, контроль внесения изменений в системное программное обеспечение.

Официальный источник

  • Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (ред. от 25.07.2011)
  • Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 17.11.2007 № 781
  • Положение о методах и способах защиты информации в информационных системах персональных данных, утв. приказом ФСТЭК от 05.02.2010 № 58

Пройдите повышение квалификации в «Школе менеджера образования»

Курс «Управление образовательной организацией» — это знания и навыки по управлению ресурсами, кадрами, развитием образовательной организации.

Дистанционно! Вы сами выбираете удобное время для обучения!

Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Рекомендации по теме

Повышение квалификации

Повышение квалификации заведующих детским садом и старших воспитателей

Проверьте свои знания и получите удостоверение или диплом установленного образца

Участвовать

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Мы в соцсетях
А еще:

Внимание!
Сайт предназначен только для работников дошкольного образования.

Зарегистрируйтесь.
Это бесплатно и займёт менее 1 минуты!
За регистрацию на сайте для Вас сегодня — журнал «Справочник старшего воспитателя дошкольного учреждения» (скачать в pdf).

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
Присоединяйтесь к выбору Ваших коллег!
×
Сайт предназначен для работников сферы образования!

Чтобы скачать документ, пожалуйста, зарегистрируйтесь. Регистрация на сайте бесплатна.

А еще в подарок за регистрацию мы дарим Вам полезную таблицу принятых профстандартов непедагогических работников.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И получить доступ на сайт Займет минуту!
×
Регистрация

Зарегистрируйтесь, чтобы получить документ. Это бесплатно и займет всего минуту!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И получить доступ на сайт Займет минуту!
×
Здравствуйте, Гость!
Вам предоставлен неограниченный доступ к журналу "Справочник старшего воспитателя"
23
 : 
56
 : 
45

После активации Вы сможете читать экспертные статьи, скачивать образцы документов и использовать полезные сервисы

Темы сентября

Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.