Правила парольной защиты
Политика использования паролей
Общие положения
Пароли - один из важнейших аспектов информационной безопасности, так как плохо подобранный пароль повышает потенциальный риск несанкционированного доступа в информационную систему компании. Все сотрудники (включая подрядчиков и третью сторону) несут ответственность за выполнение требований настоящей политики.
Все пользователи (сотрудники компании, дилеры, поставщики, подрядчики или посетители), имеющие доступ к информационным системам компании, ответственны за принятие соответствующих (как описано ниже) мер по созданию и защите пароля.
Цель политики использования паролей
Цель этой политики установить стандарты создания сильных паролей, их защиту, хранение и частоту изменения.
Применение политики
Эта политика относится ко всему персоналу, кто имеет или ответственен за доступ к конфиденциальной информации всех уровней (или любая форма доступа, которая поддерживает или требует пароля) на любой системе, оборудовании, имеющем доступ (или хранящем конфиденциальную информацию) к Вашей корпоративной сети.
Описание политики
Пароли системных учетных записей (администратора домена, локального администратора, root и т. д.) должны изменяться ежемесячно.
Все пароли системных учетных записей, а также пароли приложений и активного оборудования необходимо хранить в базе данных в зашифрованном виде, доступ к которой ограничен.
Срок действия паролей учетных записей домена должен составлять не более 9 месяцев. Рекомендуемый интервал смены пароля 6 месяцев.
Пароль учетной записи пользователя, имеющего административные привилегии, полученные при помощи членства в группе или при помощи программ, таких как sudo, должен быть уникален по отношению к другим паролям учетных записей данного пользователя.
Запрещается передача паролей пользователям при помощи почтовых сообщений либо иным другим открытым способом через Интернет.
Пароль полученный пользователем, необходимо сменить при первом входе в систему.
При использовании SNMP протокола, необходимо использовать отличные от стандартных значений строк подключений (Community Name) "public", “private", "system" и отличными от пароля используемого для входа в систему.
Все пароли пользователей, а также системные пароли должны соответствовать данной политике.
Использование паролей
Компания использует пароли для различных целей. Среди них: доступ к учётной записи пользователя, к веб-интерфейсам, к электронной почте, для защиты хранителя экрана, пароли голосовой почты и доступ к маршрутизаторам. Поскольку очень мало систем поддерживают токены с одноразовыми паролями (динамические пароли, которые используются только один раз), следует знать как выбрать стойкий пароль.
Плохие, слабые пароли обладают следующими признаками:
1. Содержат менее восьми символов.
2. Являются словом, которое содержится в словарях (русских или иностранных).
3. Являются часто употребляемым словом.
4. Содержат фамилию, кличку животного, имена друзей, сотрудников, вымышленных персонажей и т. д.
5. Содержат компьютерные термины и названия, команды, названия сайтов, компаний, оборудования, программного обеспечения.
6. Содержат название вашей компании и географические наименования, например "Москва", "Саратов" или их производные.
7. Содержат даты рождения и иную личную информацию, например, адреса и номера телефонов.
8. Слово или число по шаблону типа аааббб, qwerty, zyxwvuts, 12345 и т.д.
9. Предыдущий пример, вводимый в обратной последовательности.
10. Два предыдущих примера с цифрой в начале или конце пароля (например, Москва1, 1Саратов).
Сильные пароли
- Содержит сочетание букв верхнего и нижнего регистров (например, a-z, A-Z).
- Включает цифры и знаки пунктуации, например, 0-9, !@#$%^&*()_+|~-=\`{}[]:";'<>?,./).
- Состоит из восьми и более символов.
- Не является словом на любом языке, диалекте, сленге, жаргоне и т.д.
- Не основан на персональной информации, например фамилии, дате рождения и т.д.
- Никогда не записывается и не хранится on-line.
Создавайте легко запоминаемые пароли. Одним из способов создания таких паролей, использовать песни, стихи и другие легко запоминающиеся фразы. Например из фразы: "This May Be One Way To Remember" можно получить такие пароли: "TmB1w2R!" или "Tmb1W>r~" и другие варианты.
Внимание: Не используйте ни один из предыдущих примеров в качестве пароля!
Правила парольной защиты
1. Не используйте один и тот же пароль для доступа к учётным записям и к другим ресурсам (например, доступ в интернет из дома, системам электронной коммерции и т. д.). По возможности не используйте один и тот же пароль для доступа к различным ресурсам внутри компании. Например, используйте один пароль для прикладных программ и другой для администрирования ресурсов. Используйте различные пароли для учётных записей Windows и Unix-систем.
2. Не сообщайте ваш пароль никому, даже вашему секретарю или обслуживающему персоналу. Все пароли являются конфиденциальной информацией.
3. Список запрещённых действий.
4. Не сообщайте никому свой пароль по телефону.
5. Не отправляйте свой пароль по электронной почте.
6. Не сообщайте свой пароль начальнику.
7. Не говорите о своём пароле рядом с посторонними.
8. Не упоминайте о содержимом пароля (например, "мой день рождения").
9. Не указывайте свой пароль в анкетах или опросах.
10. Не сообщайте свой пароль членам своей семьи.
11. Не сообщайте свой пароль сослуживцам перед уходом в отпуск.
12. Не записывайте пароль и не храните его на рабочем месте.
13. Не храните пароль в файле на компьютере, включая переносной, без шифрования.
14. Не используйте функцию "Запомнить пароль" в таких приложениях как Eudora, Outlook или Netscape Messenger
Если кто-либо требует сообщить ваш пароль, сошлитесь на этот документ или попросите позвонить в отдел информационной безопасности.
Если вы считаете, что учётная запись или пароль скомпрометированы, сообщите об этом в отдел информационной безопасности и смените все пароли.
Уполномоченные лица могут регулярно проводить подбор или попытки взлома паролей. Если пароль будет угадан или взломан во время таких мероприятий, вас попросят сменить пароль.