Приложение 10
к приказу Министра
науки и высшего образования
Республики Казахстан
от 27 сентября 2024 года № 464
Правила
организации процедуры аутентификации
Глава 1. Общие положения
1. Настоящие Правила организации процедуры аутентификации (далее - Правила) разработаны в соответствии с Государственным стандартом СТ РК ИСО/МЭК 27002-2009 «Информационные технологии. Средства обеспечения. Свод правил по управлению защитой информации», Приложением 1 к технической документации по информационной безопасности, и определяют требования к регистрации учетных записей пользователей и парольной защиты информационных систем Министерства науки и высшего образования Республики Казахстан и его ведомствах (далее - Министерство). Правила предназначены для минимизации ущерба от реализации угроз информационной безопасности, а также для повышения общего уровня конфиденциальности, целостности и доступности информации.
2. В данных Правилах используются следующие основные понятия и термины:
1) служба технического обслуживания (далее - СТО) - обслуживающие организации, привлекаемые на договорной основе, ответственные за правильное и непрерывное функционирование, настройки программного обеспечения на сервере и на средствах вычислительной техники;
2) пользователь - работник Министерства, непосредственно работающий
с вычислительной техникой на своем рабочем месте или в корпоративной вычислительной сети;
3) электронные информационные ресурсы - электронная информация, хранимая в электронном виде (информационные базы данных), содержащаяся в информационных системах;
4) администратор информационной системы - работник, который выполняет функции администрирования серверов и прикладного активного оборудования корпоративной информационной сети;
5) компрометация пароля - утечка или разглашение пароля.
3. Эффективность парольной защиты, выполнение требований к ее организации контролируется структурным Департаментом по информационной безопасности, по защите государственных секретов и мобилизационной работе (далее - ДИБЗГСМР).
4. Организационное и техническое обеспечение процессов использования, смены и прекращения действия паролей пользователей и администраторов возлагается на ДИБЗГСМР.
Глава 2. Правила формирования личного пароля
5. Личные пароли выбираются пользователями и администраторами информационных систем самостоятельно с учетом следующих требований:
1) длина пароля должна быть не менее 8 символов;
2) в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и/или специальные символы (%, $, @, &, *, #, ^ и так далее), в том числе вводимые через клавишу Shift;
3) запрещается при авторизации пользователя использовать только логин (имя пользователя) без пароля;
