Наказ ФССП Росії
Дата початку дії:
Про затвердження Положення про організацію роботи з управління обліковими записами користувачів в підсистемах автоматизованої інформаційної системи Федеральної служби судових приставів
Міністерство юстиції Російської Федерації
Федеральної служби судових приставів
Про затвердження Положення про організацію роботи з управління обліковими записами користувачів в підсистемах автоматизованої інформаційної системи Федеральної служби судових приставів
1. Затвердити Положення про організацію роботи з управління обліковими записами користувачів в підсистемах автоматизованої інформаційної системи Федеральної служби судових приставів.
2. Контроль за виконанням наказу покласти на заступника директора Федеральної служби судових приставів - заступника головного судового пристава Російської Федерації Ігнатьєву Т.П.
Директор Федеральної служби
судових приставів - головний
судовий пристав Російської Федерації
А.О.Парфенчіков
Додаток. Положення про організацію роботи з управління обліковими записами користувачів в підсистемах автоматизованої інформаційної системи Федеральної служби судових приставів
I. Загальні положення
неправомірного доступу, копіювання, надання або поширення інформації (забезпечення конфіденційності інформації);
неправомірного знищення або модифікування інформації (забезпечення цілісності інформації);
неправомірного блокування інформації (забезпечення доступності інформації).
1.2. Процес управління обліковими записами і правами доступу користувачів є невід'ємною частиною адміністрування системи захисту інформації в підсистемах АІС ФССП Росії.
1.3. Для здійснення управління обліковими записами користувачів в АІС ФССП Росії використовується сервіс управління обліковими записами підсистеми технологічного моніторингу та адміністрування АІС ФССП Росії (далі - Підсистема ТМА).
1.4. Функціями Підсистеми ТМА АІС ФССП Росії в частині забезпечення адміністрування системного каталогу та управління обліковими записами є:
управління (заклад, блокування) обліковими записами користувачів, а також підсистем (технологічних користувачів);
реалізація необхідних методів (дискреційний, рольової), типів (читання, запис, виконання чи інший тип) і правил розмежування доступу;
поділ прав доступу (ролей) користувачів, адміністраторів та осіб, які забезпечують функціонування інформаційної системи;
призначення мінімально необхідних прав і привілеїв користувачам, адміністраторам і особам, які забезпечують функціонування інформаційної системи;
оповіщення адміністратора, який здійснює управління обліковими записами користувачів, про зміну відомостей про користувачів, обов'язки, права доступу, обмеження.
II. Користувачі і рівні доступу в підсистемах АІС ФССП Росії
2.1. До користувачів в підсистемах АІС ФССП Росії з метою цього документа відносяться працівники центрального апарату (територіальних органів) ФССП Росії, виконують свої посадові обов'язки (функції) з використанням АІС ФССП Росії відповідно до посадових регламентами (інструкціями).
Як користувачів додатково розглядаються працівники, які залучаються на договірній основі для забезпечення функціонування АІС ФССП Росії (ремонт, гарантійне обслуговування, регламентні та інші роботи) відповідно до організаційно-розпорядчими документами ФССП Росії та щодо яких в АІС ФССП Росії проведена процедура надання доступу до ресурсів АІС ФССП Росії.
В якості технологічних користувачів розглядаються підсистеми АІС ФССП Росії, а також підсистеми, які не є підсистемами АІС ФССП Росії.
2.2. Користувач АІС ФССП Росії в центральному апараті (територіальному органі) ФССП Росії, в залежності від присвоєних прав доступу, має можливість роботи на трьох рівнях доступу: федеральному, регіональному і місцевому.
Федеральний рівень надає право роботи в підсистемах відомчої статистики, міжвідомчої взаємодії, нормативно-довідкової інформації, відомчого службового порталу, сервісу технічної підтримки АІС ФССП Росії.
Регіональний рівень доступу надає право роботи в підсистемі ТМА, підсистемах відомчої статистики і електронного документообігу АІС ФССП Росії територіального органу ФССП Росії.
На місцевому рівні користувачі отримують доступ до підсистеми "Відділ судових приставів" (далі - ПК ОСП) АІС ФССП Росії територіального органу ФССП Росії.
III. Заклад облікових записів користувачів, в тому числі технологічних користувачів в підсистемах АІС ФССП Росії
3.1. У центральному апараті (територіальних органах) ФССП Росії визначається посадова особа, яка входить до складу підрозділу по забезпеченню інформаційної безпеки, відповідальне за управління обліковими записами в підсистемах АІС ФССП Росії (далі - адміністратор по УУЗП).
3.2. Доступ до ресурсів АІС ФССП Росії в центральному апараті (територіальних органах) ФССП Росії надається користувачам, які пройшли процедуру закладу облікового запису.
3.3. Процедура закладу облікового запису:
для державного службовця центрального апарату (територіального органу) ФССП Росії, працівника, що заміщує посаду, яка не є посадою державної цивільної служби, проводиться на підставі наказу про призначення на посаду, наказу про відрядження;
для особи, яка не є працівником центрального апарату (територіального органу) ФССП Росії, проводиться на підставі згоди суб'єкта про нерозголошення інформації, щодо якої встановлено вимоги щодо забезпечення її конфіденційності, із зазначенням реквізитів державного контракту або іншого документа, що передбачає допуск суб'єкта до ресурсів АІС ФССП Росії;
для технологічних користувачів підсистем АІС ФССП Росії, в тому числі підсистем, які не є підсистемами АІС ФССП Росії, проводиться на підставі наказів, угод, регламентів і (або) інших документів, що визначають порядок роботи (доступу) в підсистемах АІС ФССП Росії.
3.4. Процедура закладу облікового запису в підсистемах АІС ФССП Росії проводиться не пізніше одного робочого дня з моменту передачі реєстраційної інформації кадровим підрозділом центрального апарату (територіального органу) ФССП Росії в підрозділ по забезпеченню інформаційної безпеки центрального апарату (територіального органу) ФССП Росії та включає в себе наступні роботи в зазначеному порядку:
Реєстрація користувача. Реєстрація користувача, тобто занесення інформації про користувача, що включає персональні дані працівника (прізвище, ім'я, по батькові, структурний підрозділ, посада, СНІЛС (якщо є), дата призначення на посаду), проводиться в підсистемі кадрового обліку АІС ФССП Росії кадровим підрозділом центрального апарату (територіальних органів) ФССП Росії. У разі відсутності підсистеми кадрового обліку АІС ФССП Росії, кадрового підрозділу вносить інформацію про користувача в сервіс "Заявки кадрового обліку" підсистеми електронного документообігу АІС ФССП Росії. У разі несправності підсистеми електронного документообігу АІС ФССП Росії допускається передача реєстраційної інформації в підрозділ по забезпеченню інформаційної безпеки на паперовому носії з метою подальшого невідкладної реєстрації користувачів адміністратором по УУЗП. У разі якщо користувач не є працівником центрального апарату (територіального органу) ФССП Росії, інформація про нього вноситься адміністратором по УУЗП в підсистему ТМА АІС ФССП Росії. Заповнення відомостей про технологічні користувачів також проводиться адміністратором по УУЗП.
Формування облікового запису користувача і первинного пароля. Після реєстрації користувача і проведення верифікації адміністратор по УУЗП виробляє дії по формуванню облікового запису користувача і первинного пароля. Первинний пароль який суперечить п.5.1 Положення і змінюється користувачем при першій аутентифікації.
Призначення прав доступу шляхом використання групових шаблонів наборів ролей. Права доступу на роботу в підсистемах АІС ФССП Росії облікового запису користувача призначаються відповідно до посадових обов'язків користувача або іншим документом, що визначає порядок роботи користувача в підсистемах АІС ФССП Росії. При цьому права доступу призначаються шляхом використання довідника "Шаблони наборів ролей" (додаток N 1), що визначає для кожного напрямку діяльності або посади мінімальний необхідний набір прав доступу.
Призначення прав доступу технологічного користувачеві проводиться відповідно до наказу ФССП Росії (територіального органу ФССП Росії), угодою ФССП Росії (територіального органу ФССП Росії) або іншим документом, який регламентує порядок роботи технологічного користувача в підсистемах АІС ФССП Росії.
Видача реквізитів облікового запису. Заключним етапом по створенню облікового запису користувача є видача реквізитів облікового запису користувача і ознайомлення користувача з обмеженнями, зазначеними в пункті 6.1 Положення.
IV. Процес управління обліковими записами користувачів в підсистемах АІС ФССП Росії
4.1. У разі необхідності зміни прав доступу, присвоєних користувачеві, відсутність необхідності в подальшій роботі в певних підсистемах АІС ФССП Росії в підрозділ по забезпеченню інформаційної безпеки центрального апарату (територіального органу) ФССП Росії направляється заявка на зміну прав доступу (допускається спрямування заявок за допомогою використання сервісу технічної підтримки АІС ФССП Росії). У разі якщо необхідно призначення прав доступу, що надають доступ до інформації, що захищається, доступ надається за погодженням з особою, відповідальною за організацію обробки персональних даних в центральному апараті (територіальному органі) ФССП Росії. За результатами розгляду заявки адміністратор по УУЗП проводить роботи по додаванню / виключення прав доступу.
4.2. У структурних підрозділах територіального органу ФССП Росії в підсистемі ПК ОСП проводиться додаткова робота з управління обліковими записами користувачів, які виконують обов'язки судових приставів-виконавців, а саме за вказівкою ділянок судових приставів-виконавців і внесення іншої необхідної для повноцінної роботи користувачів підсистеми ПК ОСП інформації. Проведення зазначених робіт організовує начальник відділу -старший судовий пристав відповідного структурного підрозділу територіального органу ФССП Росії.
4.3. Інформація про кадрові переміщення, зміни в реквізитах (прізвище, ім'я і т.д.), відхід у відпустку, звільнення працівника кадрових підрозділом вноситься в підсистему кадрового обліку АІС ФССП Росії або в разі відсутності підсистеми кадрового обліку АІС ФССП Росії в сервіс "Заявки кадрового обліку "підсистеми електронного документообігу АІС ФССП Росії та обробляється адміністратором по УУЗП протягом одного дня. У разі несправності підсистеми електронного документообігу АІС ФССП Росії допускається передача інформації в підрозділ по забезпеченню інформаційної безпеки на паперовому носії для подальшого невідкладного внесення інформації адміністратором по УУЗП.
4.4. Начальник або заступник начальника підрозділу по забезпеченню інформаційної безпеки центрального апарату (територіального органу) ФССП Росії ініціює перевірку актуальності облікових записів користувачів, переглядає і при необхідності коректує їх з періодичністю, яка визначається особою, відповідальною за організацію обробки персональних даних центрального апарату ФССП Росії.
V. Управління паролями в підсистемах АІС ФССП Росії
5.1. Паролі, які використовуються для аутентифікації в підсистемах АІС ФССП Росії, формуються відповідно до наведених нижче вимог:
в числі символів пароля присутні букви у верхньому і (або) нижньому регістрах, цифри і спеціальні символи;
пароль не включає в себе легко обчислювані поєднання символів (імена, прізвища і т.д.), а також загальноприйняті скорочення (USER, ADMIN, ALEX і т.д.);
при зміні пароля нове значення відрізняється від попереднього не менше ніж в 4 позиціях;
періодичність зміни паролів облікових записів адміністраторів підсистем АІС ФССП Росії становить не більше 3 місяців, інших користувачів - не більше 6 місяців;
пароль відмінний від паролів, які користувач уже використовує для доступу до інших інформаційних систем, особистим облікових записів в інтернет-сервісах, до систем електронної взаємодії і не використовується вдруге в подальшому.
5.2. Пароль є конфіденційною інформацією і не розголошується, і не передається будь-кому, в тому числі і адміністратору по УУЗП в центральному апараті (територіальному органі) ФССП Росії. Відповідальність за безпечне зберігання пароля лежить на його власнику.
5.3. Пароль не підлягає зберіганню в паперовій або електронній формах у загальнодоступних місцях.
5.4. У разі втрати пароля користувач звертається до підрозділу із забезпечення інформаційної безпеки центрального апарату (територіального органу) ФССП Росії з проханням про скидання пароля. При підозрі на те, що пароль став відомий другим особам, або при встановлений факт несанкціонованого використання реквізитів облікового запису користувач в усній формі негайно звертається до адміністратора по УУЗП з проханням блокування облікового запису до моменту надання заявки на зміну пароля або з'ясування обставин виявленого інциденту. Заявки користувачів розглядаються адміністратором по УУЗП протягом години з моменту надходження заявки.
5.5. У разі переведення в інший структурний підрозділ користувач проводить зміну пароля належної йому облікового запису.
5.6. У підсистемі нормативно-довідкової інформації АІС ФССП Росії відділом забезпечення інформаційної безпеки Управління інформаційних технологій ФССП Росії створений і ведеться довідник неприпустимих паролів, який розповсюджується на федеральний, регіональний і місцевий рівень підсистем АІС ФССП Росії. Використання довідника в підсистемах АІС ФССП Росії спрямована на виключення можливості завдання користувачем простих паролів і, як наслідок, підбір пароля користувача зловмисником.
VI. Обмеження використання облікових записів
6.1. Не допускається:
використання облікових записів з правами адміністраторів користувачами, а також призначення таких прав без наявних на те підстав, затверджених організаційно-розпорядчими документами;
використання системної облікового запису sysdba для виконання робіт, не зазначених у пункті 2.3 цього Положення, та передача реквізитів системної облікового запису sysdba особам, не уповноваженою на виконання відповідних робіт;
використання системної облікового запису sysdba для інтеграції підсистем АІС ФССП Росії з підсистемами, які не є підсистемами АІС ФССП Росії;
застосування знеособлених облікових записів користувачів працівниками;
використання одного облікового запису кількома працівниками;
передача реквізитів облікового запису іншим працівникам, в тому числі адміністраторам підсистем АІС ФССП Росії;
використання облікових записів звільнених працівників.
6.2. Порушення правил, зазначених в пункті 6.1, розглядається як інцидент інформаційної безпеки.
6.3. Контроль за дотриманням обмежень використання облікових записів в центральному апараті ФССП Росії здійснюється підрозділом по забезпеченню інформаційної безпеки, в територіальних органах ФССП Росії підрозділами по забезпеченню інформаційної безпеки і начальниками відділів (структурних підрозділів).
Додаток N 1. Довідник "Шаблони наборів ролей"
Довідник "Шаблони наборів ролей"