Инструкция управления паролями

Парольные фразы являются конфиденциальной информацией и не могут быть разглашены, либо переданы кому-либо. Ответственность за безопасное хранение пароля лежит на его владельце.

Выбираемые пользователями парольные фразы должны автоматически проверяться на соответствие требованиям, предъявляемым к сложности парольных фраз, указанным в данном документе.

При выборе парольных фраз необходимо руководствоваться следующими критериями:

1. Парольные фразы должны содержать не меньше двух спецсимволов, буквы в различном регистре и цифры;

2. Пароли должны быть случайными, т.е:

• ни по какой имеющейся части парольной фразы нельзя сделать предположение об оставшейся части пароля;

• имея парольную фразу пользователя А нельзя сделать предположение о парольной фразе пользователя Б.

3. Недопустимо хранение парольных фраз в открытом виде;

4. Недопустимо хранение парольных фраз в преобразованном виде, стойкость алгоритма преобразования которого полностью зависит от знания самого алгоритма;

5. Длина выбираемых парольных фраз должна зависеть от времени использования одних и тех же паролей. Так, к примеру, для использования одной и той же парольной фразы в течение 60 дней, достаточно ее длины в 8 символов. В случае увеличения периода действия парольной фразы ее длина должна быть увеличена.

6. Длина парольных фраз, не предполагающих свое изменение со временем, должна быть не меньше 32 символов.

Парольные фразы не подлежат хранению в бумажной или электронной формах в общедоступных местах.

При первоначальном предоставлении доступа к информационным ресурсам сетевой инфраструктуры, а также при получении заявки на сброс пароля, пользователю предоставляется первичная парольная фраза. Первичная парольная фраза удовлетворяет требованиям, предъявляемым к паролям данным документом, а также является временной и должна быть изменена при первом же входе в систему.

Парольная фраза сообщается исключительно пользователю информационных ресурсов, запросившему доступ.

Первичная парольная фраза может быть передана конечному пользователю системы в открытой форме через электронную почту только в пределах корпоративной почтовой системы.

Парольная фраза должна быть изменена в следующих случаях:

• время действия пароля истекло;
• при подозрении, что пароль стал известен кому-либо еще;
• если право пользования учетной записью было передано другому пользователю;
• в случае, если состав группы, пользующейся общим паролем, изменился.

При первичной регистрации пользователя в системе должна быть запрошена смена первичной парольной фразы. Также, пользователь должен извещаться об истечении срока действия его пароля и необходимости установить новый.

Обязательные требования к парольному вводу:

• подавление отображения вводимой парольной фразы;
• новая парольная фраза должна вводиться дважды;
• парольное поле должно сбрасываться после каждой проверки введенной парольной фразы.

В случае применения аппаратных токенов эти устройства должны быть защищены, как минимум, четырехзначным пин-кодом. Пин-код запрещается разглашать или хранить в открытом виде или в легкодоступных местах.