Политика использования паролей

Примеры политик информационной безопасности

1. Обзор

Пароль является важным аспектом ОИБ. Это первый рубеж защиты учетных записей пользователей. Плохо выбранный пароль может стать причиной взлома всего интранета Организации. Поэтому все сотрудники Организации (включая работающих по контрасту и партнеров, имеющих доступ к системам Организации) являются ответственными за соответствующие шаги, как отмечено ниже, по выбору и защите своих паролей.

2. Цель

Цель политики — установить стандарт по созданию стойких паролей, их защите и частоте смены. Настоящая политика устанавливает требования к порядку выбора, хранения, использования, периодичности смены и другим вопросам, связанным с применением механизмов парольной аутентификации в интранете Организации.

3. Область действия

Область действия — для всего персонала, имеющего свою учетную запись или ответственного за нее (или за любую форму доступа, которая поддерживается или требует пароля) в любой системе, находящейся в Организации, имеющей доступ к интранету Организации или хранящей любую информацию Организации, предназначенную не для всеобщего доступа.

4. Основные положения

4.1 Общие положения

Все системные пароли (например, root, NT admin, учетные записи администраторов приложений и т. и.) должны изменяться по крайней мере раз в квартал.

Все системные пароли для продуктов должны храниться в единой базе данных паролей, администрируемой соответствующей организацией (например, InfoSec).

Все пароли пользователей (например, почтовые, Интернета, для настольного компьютера и т. п.) должны изменяться по крайней мере каждые шесть месяцев. Рекомендуемая частота смены пароля — каждые четыре месяца.

Учетные записи пользователей, имеющие системные привилегии, заданные с помощью членства в группе или программы типа «sudo», должны иметь уникальный пароль, отличный от других паролей этого пользователя.

Пароли нельзя передавать по электронной почте или другим видам электронных средств связи.

При использовании протокола управления сетью SNMP пароли для «community strings» должны быть отличны от установок по умолчанию «public», «private» и «system» и от паролей, используемых для входа в интерактивный режим. Везде, где это возможно, должен использоваться хеш с ключом (например, SNMPv2).

Все пользовательские и системные пароли должны выбираться в соответствии с нижеприведенным руководством.

4.2 Руководство

А.   Общее руководство по выбору паролей. В Организации пароли используются с разными целями. Чаще это: пользовательские учетные записи, доступ к Интернету, почтовые пароли, пароли для заставок, пароли для голосовой почты и пароли на локальных маршрутизаторах. Поскольку не везде используются одноразовые (динамические) пароли, нужно знать, как выбрать стойкий пароль.

Слабые пароли обладают следующими свойствами:

пароль содержит менее восьми символов; пароль является словом из словаря какого-либо языка; пароль содержит:

  • фамилию и имя, кличку животного, имя друга, марку машины, фантастическое имя и т. п.;
  • компьютерный термин или имя, команду, узел, наименование Организации, название АО или ПО;
  • производное от наименования Организации;
  • дату рождения или другую персональную информацию типа адреса или номера телефона;
  • слово или сочетание символов типа aaabbb, qwerty, zyxwvuts, 123321 и т. п.;
  • все перечисленное, только в обратном порядке написания;
  • любое из перечисленного с цифрой на конце или в начале (например, secretl, 1 secret).

Сильный пароль имеет следующие характеристики:

  • содержит символы верхнего и нижнего регистра;
  • наряду с буквами содержит цифры и знаки препинания (!@#$%Л &*()_+Ь=\'{}[]:»;'<>?,Л
  • состоит не менее чем из восьми символов;
  • не является словом любого языка, сленга, диалекта, жаргона и т. п.;
  • не содержит персональной информации, фамилии и т. п.;
  • не записан рядом с компьютером или хранится на нем в специально с этой целью созданном файле.

Лучше выбрать пароль, который легко запомнить. Один из способов — взять за основу название песни, пословицы и т. п. Например, на основе фразы «This May Be One Way To Remember» можно создать пароль «TmBlw2R!» или «Tmb1 W>r~».

В.   Стандарты защиты паролей. Все пароли являются конфиденциальной информацией Организации.

Для учетных записей в Организации и вне нее используйте разные пароли. Внутри Организации для различного доступа (к приложениям, к разным ОС и т. п.) также используйте разные пароли.

Не используйте одну учетную запись в Организации совместно с кем-либо, включая помощников или секретарей.

Также запрещается:

  • говорить кому-либо пароль по телефону;
  • писать пароль в почтовом сообщении;
  • давать пароль начальнику;
  • обсуждать пароль с коллегами;
  • намекать на формат пароля (например, «моя фамилия»);
  • не писать пароль при опросах;
  • не использовать один пароль всеми членами семьи;
  • не давать пароль коллегам на время своего отсутствия на работе.

Если кто-либо просит ваш пароль, ссылайтесь на этот документ или просите позвонить в департамент ИБ.

Не использовать опцию приложений «Запомнить пароль» (например, в Microsoft OutLook или Netscape Messenger).

Не хранить записанным на бумаге пароль в офисе или на компьютере в незашифрованном файле.

Меняйте пароль не реже раза в полгода (системные пароли нужно менять ежеквартально). Рекомендуемый срок смены паролей — каждые четыре месяца.

Если есть подозрения, что пароль или учетная запись были взломаны, сообщите об инциденте соответствующему уполномоченному лицу и замените все пароли.

Периодически пробуйте взломать или подобрать пароль. Если это удается с применением соответствующих средств, потребуйте от пользователя сменить пароль.

  • Стандарты для разработки приложений. Разработчики приложений должны создавать программы, имеющие следующие свойства:
  • аутентификация отдельных пользователей, а не групп;
  • • хранение паролей не должно осуществляться в открытом виде или в любой легко читаемой форме;
  • управление ролями, исключающее ситуацию, когда один пользователь может получить функции другого без знания его пароля;
  • поддержка TACACS+ , RADIUS и/или Х.509 с LDAP, где это возможно.
  • Использование паролей и парольных фраз для удаленного доступа пользователей. Доступ к интранету Организации посредством удаленного доступа должен контролироваться на основе одноразовых паролей или ключевой системы со стойкими парольными фразами.
  • Парольные фразы. Парольные фразы обычно используются для аутентификации с открытым/личным ключом. Такая система определяет математическое отношение между известным всем открытым ключом и личным ключом, известным только пользователю. Без парольной фразы, открывающей личный ключ, пользователь не может получить доступ.

Парольные фразы — это не то же самое, что пароли. Парольная фраза- это более длинная и поэтому более защищенная версия пароля. Обычно она состоит из нескольких слов. Кроме того, такая фраза более защищена от атак по словарю.

Правильно составленная парольная фраза достаточно длинна и содержит комбинации символов, цифр и знаков препинания на верхнем и нижнем регистрах. Например, «The*?#>*@TrafficOnThel01 Was*&#!# ThisMoming». Все правила выбора паролей применены и к парольным фразам.

  • Ответственность. Любой сотрудник, нарушивший политику, может быть привлечен к дисциплинарному наказанию, вплоть до увольнения с работы.
  • ОпреОеление. Учетная запись администратора приложения — любая учетная запись, предназначенная для администрирования приложения (например, администратора базы данных Oracle и т. п.).
  • История пересмотра политики.

Добавить комментарий