Парольная политика

Пароли - один из важнейших аспектов информационной безопасности, так как плохо подобранный пароль повышает потенциальный риск несанкционированного доступа в информационную систему компании. Все сотрудники «ВАША КОМПАНИЯ» (включая подрядчиков и третью сторону) несут ответственность за выполнение требований настоящей политики.

Цель этой политики установить стандарты создания сильных паролей, их защиту, хранение и частоту изменения.

Эта политика относится ко всему персоналу, кто имеет или ответственен за доступ к конфиденциальной информации всех уровней (или любая форма доступа, которая поддерживает или требует пароля) на любой системе, оборудовании, имеющем доступ (или хранящем конфиденциальную информацию) к Вашей корпоративной сети.

1. Пароли системных учетных записей (администратора домена, локального администратора, root и т. д.) должны изменяться ежеквартально.
2. Все пароли системных учетных записей, а также пароли приложений и активного оборудования необходимо хранить в базе данных в зашифрованном виде, доступ к которой ограничен.
3. Срок действия паролей учетных записей домена должен составлять не более 9 месяцев. Рекомендуемый интервал смены пароля 6 месяцев.
4. Пароль учетной записи пользователя, имеющего административные привилегии, полученные при помощи членства в группе или при помощи программ, таких как sudo, должен быть уникален по отношению к другим паролям учетных записей данного пользователя.
5. Запрещается передача паролей пользователям при помощи почтовых сообщений либо иным другим открытым способом через Интернет.
6. Пароль полученный пользователем, необходимо сменить при первом входе в систему.
7. При использовании SNMP протокола, необходимо использовать отличные от стандартных значений строк подключений (Community Name) «public», «private», «system» и отличными от пароля используемого для входа в систему.
8. Все пароли пользователей, а также системные пароли должны соответствовать данной политике.

Инструкция по созданию пароля. «ВАША КОМПАНИЯ» использует пароли для различных целей. Среди них: доступ к учётной записи пользователя, к веб-интерфейсам, к электронной почте, для защиты хранителя экрана, пароли голосовой почты и доступ к маршрутизаторам. Поскольку очень мало систем поддерживают токены с одноразовыми паролями (динамические пароли, которые используются только один раз), следует знать как выбрать стойкий пароль.

Плохие, слабые пароли обладают следующими признаками:

1. Содержат менее восьми символов.
2. Являются словом, которое содержится в словарях (русских или иностранных).
3. Являются частоупотребляемым словом.
4. Содержат фамилию, кличку животного, имена друзей, сотрудников, вымышленных персонажей и т. д.
5. Содержат компьютерные термины и названия, команды, названия сайтов, компаний, оборудования, программного обеспечения.
6. Содержат название вашей компании и географические наименования, например «Москва», «Саратов» или их производные.
7. Содержат даты рождения и иную личную информацию, например, адреса и номера телефонов.
8. Слово или число по шаблону типа аааббб, qwerty, zyxwvuts, 12345 и т.д.
9. Предыдущий пример, вводимый в обратной последовательности.
10. Два предыдущих примера с цифрой в начале или конце пароля (например, Москва1, 1Саратов).

1. Содержит сочетание букв верхнего и нижнего регистров (например, a-z, A-Z).
2. Включает цифры и знаки пунктуации, например, 0-9, !@#$%^&*()_+|~-=\`{}[ [ ] ]:«;'<>?,./).
3. Состоит из восьми и более символов.
4. Не является словом на любом языке, диалекте, сленге, жаргоне и т.д.
5. Не основан на пресональной информации, например фамилии, дате рождения и т.д.
6. Никогда не записывается и не хранится on-line.

Создавайте легкозапоминаемые пароли. Одним из способов создания таких паролей, использовать песни, стихи и другие легкозапоминающиеся фразы. Например из фразы: «This May Be One Way To Remember» можно получить такие пароли: «TmB1w2R!» или «Tmb1W>r~» и другие варианты.

Внимание: Не используйте ни один из предыдущих примеров в качестве пароля!

1. Не используйте один и тот же пароль для доступа к учётным записям «ВАША КОМПАНИЯ» и к другим ресурсам (например, доступ в интернет из дома, системам электронной коммерции и т. д.). По возможности не используйте один и тот же пароль для доступа к различным ресурсам внутри компании. Например, используйте один пароль для прикладных программ и другой для администрирования ресурсов. Используйте различные пароли для учётных записей Windows и Unix-систем.
2. Не сообщайте ваш пароль никому, даже вашему секретарю или обслуживающему персоналу. Все пароли являются конфиденциальной информацией «ВАША КОМПАНИЯ».
3. Список запрещённых действий.
4. Не сообщайте никому свой пароль по телефону.
5. Не отправляйте свой пароль по электронной почте.
6. Не сообщайте свой пароль начальнику.
7. Не говорите о своём пароле рядом с посторонними.
8. Не упоминайте о содержимом пароля (например, «мой день рождения»).
9. Не указывайте свой пароль в анкетах или опросниках.
10. Не сообщайте свой пароль членам своей семьи.
11. Не сообщайте свой пароль сослуживцам перед уходом в отпуск.
12. Не записывайте пароль и не храните его на рабочем месте.
13. Не храните пароль в файле на компьютере, включая переносной, без шифрования.
14. Не используйте функцию «Запомнить пароль» в таких приложениях как Eudora, Outlook или Netscape Messenger

Если кто-либо требует сообщить ваш пароль, сошлитесь на этот документ или попросите позвонить в отдел информационной безопасности.

Если вы считаете, что учётная запись или пароль скомпрометированы, сообщите об этом в отдел информационной безопасности «ВАША КОМПАНИЯ» и смените все пароли.

Уполномоченные лица «ВАША КОМПАНИЯ» могут регулярно проводить подбор или попытки взлома паролей. Если пароль будет угадан или взломан во время таких мероприятий, вас попросят сменить пароль.

Разработчики приложений должны обеспечить в своих программах следующие меры безопасности:

1. Приложения должны поддерживать аутентификацию отдельных пользователей, а не групп.
2. Приложения не должны хранить пароли в открытом или легкораскрываемом виде.
3. Приложения должны обеспечивать своего рода передачу прав, чтобы один пользователь мог выполнять функции другого не зная его пароль.
4. Приложения должны по возможности всегда поддерживать TACACS+, RADIUS, и/или X.509 на основе LDAP.

Для контроля удалённого доступа к сетям «ВАША КОМПАНИЯ» используйте или одноразовые пароли или ассиметричную ключевую систему со стойкой парольной фразой.

Парольные фразы отличаются от паролей. Парольная фраза более длинная версия пароля и, таким образом, более надёжная. Парольные фразы обычно используются для аутентификации в ассиметричных системах шифрования. Ассиметричная ключевая система определяет математическую связь между открытым ключом, известным всем и закрытым ключом, известным только его владельцу. Без парольной фразы, дающей доступ к закрытому ключу, пользователь не получит доступ.

Парольная фраза обычно состоит из нескольких слов, являясь более устойчивой к атакам по словарю. Хорошая парольная фраза относительно длинная и содержит комбинацию букв в верхнем и нижнем регистре, а также цифры и знаки препинания. Вот пример хорошей парольной фразы: «The*?#>*@TrafficOnThe101Was*&#!#This Morning»

Все правила создания стойких паролей относятся и к парольным фразам.

Любой сотрудник, нарушивший настоящую политику, может быть подвергнут взысканию вплоть до увольнения.

• Политика допустимого использования ИС
• Политика использования электронной почты
• Политика управления доступом к ИС
• Антивирусная политика
• Политика шифрования
• Политика управления удаленным доступом к ИС
• Политика использования VPN
• Политика межсетевого взаимодействия