Политика парольной защиты - IT Справочник
Llscompany.ru

IT Справочник
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Политика парольной защиты

Политика парольной защиты

Политика парольной защиты

Политика парольной защиты, как и любая политика безопасности — это документ «верхнего» уровня, разработка которого определяется степенью детализации основного документа предприятия в сфере информационной безопасности — политики или концепции информационной безопасности. Разделение и детализация обязанностей персонала требуют и разделения ответственности между сотрудниками даже одного подразделения, включая сами службы безопасности. Бюрократизацию процесса разработки и внедрения такого рода документов можно существенно упростить, обратившись к рекомендациям соответствующих нормативных и отраслевых документов и стандартов. К примеру ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью». Раздел 9 «Контроль доступа» вполне применим как основа для разработки политики парольной защиты как части задачи организации контроля доступа пользователей к информационным ресурсам.

Содержание документа «верхнего» уровня определяет организационную часть вопроса и в нем должно быть указано:

  • ответственные лица за его соблюдение
  • полномочия и ответственность отделов и служб в отношении реализации
  • использование программно-технических средств аутентификации и авторизации
  • порядок регистрации пользователей в системе при приеме сотрудников и при их увольнении
  • порядок действий сотрудников при компрометации средств аутентификации
  • порядок управления привилегиями
  • порядок и причины пересмотра прав пользователей
  • порядок контроля соблюдения парольной защиты
  • обязанности пользователей по работе с паролями
  • инструкции и/или правила генерации смены паролей
  • другие требования общего характера.

Политика парольной защиты— это организационно-правовой и технический документ одновременно и при его составлении надо опираться на принцип разумной достаточности. Понятно, что в компании с единственным системным администратором увлечение разработкой нормативной документацией приведет к неоправданным затратам на разработку документов, а их педантичное исполнение будет бессмысленно поглощать бесценное время исполнителей. Поэтому в общем случае вполне достаточно весь комплекс необходимых процедур ограничить минимальным набором правил и зафиксировать их в одном документе типа «инструкция по парольной защите».

Тщательность при подготовке документа не гарантирует его долговечности и требует регулярного пересмотра и приведения в соответствие с изменившимися условиями и требования бизнес-процессов и совершенствовании технической базы, что, к примеру, можно наблюдать в требовании версий зарубежного стандарта ISO 17799, где необходимая длина (разрядность) пароля увеличивается с ростом производительности распространенных вычислительных систем, или, в некотором приближении, тактовой частой процессоров и временем, необходимым для его раскрытия при доступной производительности, из соображений, что временные затраты на достижение цели должны быть больше, чем время жизни и ценности интересующего ресурса, либо срок жизни пароля должен быть короче времени, необходимого для его взлома.

Приказ Федеральной службы по интеллектуальной собственности от 14 июля 2015 г. N 97 «Об утверждении Положения по организации парольной защиты в Федеральной службе по интеллектуальной собственности»

В целях исполнения требований Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и в соответствии со «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации» (СТР-К), утвержденными приказом Государственной технической комиссии при Президенте Российской Федерации от 30 августа 2002 г. N 282, приказываю:

1. Утвердить прилагаемое Положение по организации парольной защиты в Федеральной службе по интеллектуальной собственности.

2. Директору ФИПС (О.И. Стрелков) в соответствии с указанным Положением обеспечить создание и включение в доменах fips и tz политики паролей в срок до 1 сентября 2015 г.

3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Роспатента М.В. Жамойдика.

Положение по организации парольной защиты в Федеральной службе по интеллектуальной собственности
(утв. приказом Федеральной службы по интеллектуальной собственности от 14 июля 2015 г. N 97)

I. Общие положения

1.1. Настоящее Положение регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в локальной вычислительной сети Федеральной службы по интеллектуальной собственности, меры обеспечения безопасности при использовании паролей, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

1.2. В настоящем Положении используются следующие термины и определения:

Локальная вычислительная сеть (ЛВС) — это комплекс оборудования и программного обеспечения, обеспечивающий передачу, хранение и обработку информации;

Автоматизированное рабочее место (АРМ) — это комплекс средств вычислительной техники и программного обеспечения, располагающийся непосредственно на рабочем месте сотрудника и предназначенный для автоматизации его работы в рамках специальности;

Информационная безопасность (ИБ) — обеспечение защищенности информации (ее конфиденциальности, целостности, доступности) от широкого спектра угроз;

Несанкционированный доступ (НСД) — доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа;

Учетная запись — информация о сетевом пользователе: имя пользователя, его пароль, права доступа к ресурсам и привилегии при работе в системе. Учетная запись может содержать дополнительную информацию (адрес электронной почты, телефон и т.п.);

Принцип минимальных привилегий — принцип, согласно которому каждому субъекту системы предоставляется минимальный набор полномочий (или минимальный допуск), необходимый для выполнения вверенных задач. Применение этого принципа ограничивает ущерб, наносимый в случае случайного, ошибочного или несанкционированного использования;

Компрометация — утрата доверия к тому, что информация недоступна посторонним лицам;

Ключевой носитель — электронный носитель ( флэш-накопитель, компакт-диск и т.п.), на котором находится ключевая информация (сертификаты и т.п.).

1.3. Требования настоящего Положения являются неотъемлемой частью комплекса мер безопасности и защиты информации в Роспатенте.

1.4. Требования настоящего Положения распространяются на всех работников подразделений, использующих в работе средства вычислительной техники, и должны применяться для всех средств вычислительной техники, эксплуатируемой в Роспатенте.

1.5. Организационное обеспечение процессов генерации, использования, смены и прекращения действия паролей и контроль за действиями исполнителей и обслуживающего персонала ЛВС при работе с паролями возлагается на Отдел организационной и специальной деятельности Роспатента (далее — отдел организационной и специальной деятельности). Техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей возлагается на администратора локальной вычислительной сети (далее — администратора ЛВС) ФГБУ ФИПС.

1.6. Ознакомление всех работников Роспатента, использующих средства вычислительной техники, с требованиями настоящего Положения проводит Отдел организационной и специальной деятельности. При ознакомлении с настоящим Положением внимание работников акцентируется на предупреждении их о персональной ответственности за разглашение парольной информации.

Читать еще:  Защита от баннеров

II. Общие требования к паролям

2.1. Пароли доступа к автоматизированным рабочим местам (далее — АРМ) первоначально формируются администратором ЛВС, а в дальнейшем выбираются пользователями самостоятельно, но с учетом требований, изложенных ниже.

2.2. Личные пароли пользователей АРМ Роспатента должны выбираться с учетом следующих требований:

— длина пароля должна быть не менее 8 символов;

— в числе символов пароля обязательно должны присутствовать прописные буквы английского алфавита от А до Z, строчные буквы английского алфавита от а до z, десятичные цифры (от 0 до 10), неалфавитные символы (@, #, $, &, *, % и т.п.). Исключение составляют АРМ Роспатента, в которых использование подобных спецсимволов недопустимо;

— пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования рабочих станций и т.д.), а также общепринятые сокращения и термины (qwerty, pa$$w0rd и т.п.);

— при смене пароля новый пароль должен отличаться от старого не менее, чем двумя символами.

III. Безопасность локальных учетных записей

3.1. Локальные учетные записи компьютеров (Administrator, Guest) предназначены для служебного использования администратором ЛВС при настройке систем и не предназначены для повседневной работы.

IV. Безопасность доменных учетных записей

4.1. Пользователь несет персональную ответственность за сохранение в тайне личного пароля. Запрещается сообщать пароль другим лицам, а также хранить записанный пароль в общедоступных местах.

4.2. В случае производственной необходимости (командировка, отпуск и т.п.), при проведении работ, требующих знания пароля пользователя, допускается раскрытие значений своего пароля начальникам подразделений. По окончании производственных или проверочных работ работники самостоятельно производят немедленную смену значений «раскрытых» паролей.

4.3. В случае возникновении нештатных ситуаций, форс-мажорных обстоятельств, а также технологической необходимости использования имен и паролей работников (в их отсутствие) допускается изменение паролей администратором ЛВС. В подобных случаях, сотрудники, чьи пароли были изменены, обязаны сразу же после выяснения факта смены своих паролей, создать их новые значения.

4.4. Пароли учетных записей пользователей АРМ должны соответствовать требованиям пункта 2.2 настоящего Положения.

4.5. Полная плановая смена паролей пользователей должна проводиться в срок, не позднее 42 дней после установления предыдущего пароля. Плановая смена должна предусматривать информирование пользователя о необходимости сменить пароль и возможность смены пароля без обращения к администратору ЛВС.

4.6. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение и т.п.) должна производиться администратором ЛВС немедленно после окончания последнего сеанса работы данного пользователя с системой.

4.7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на работу в другое подразделение внутри Роспатента и другие обстоятельства) администратора ЛВС и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой.

4.8. В случае длительного отсутствия пользователя АРМ (командировка, болезнь и т.п.) его учетная запись блокируется, и, в случае необходимости, изменяются права доступа других пользователей в отношении ресурсов данного пользователя.

4.9. В случае компрометации личного пароля пользователя АРМ либо подозрении на компрометацию должны быть немедленно предприняты меры по внеплановой смене личного пароля самим пользователем с немедленным информированием Отдела организационной и специальной деятельности.

4.10. Смена забытого пользовательского пароля производится администратором ЛВС на основании сообщения пользователя с обязательной установкой параметра «Требовать смену пароля при следующем входе в систему».

4.11. Для предотвращения угадывания паролей администратор ЛВС обязан настроить механизм блокировки учетной записи на 20 минут при пятикратном неправильном вводе пароля.

4.12. При возникновении вопросов, связанных с использованием доменных учетных записей, пользователь АРМ обязан обратиться к администратору ЛВС.

V. Временные учетные записи

5.1. Для предоставления временного доступа (для лиц, не являющихся сотрудниками Роспатента, для сотрудников, которым необходимо получить временный доступ) необходимо использовать процедуру временных учетных записей.

5.2. Временная учетная запись — учетная запись, имеющая ограничение по времени действия, имеющая ограниченные права по доступу. Для временных учетных записей проводится подробное протоколирование их использования. Процедура получения временных учетных записей состоит в следующем:

— сотрудник Роспатента через руководителя своего подразделения либо лицо, не являющееся сотрудником Роспатента, через доверенное лицо оформляет соответствующим образом заявку, указав в ней, что требуемая учетная запись временная, определив временные рамки ее использования;

— заявка направляется в Отдел организационной и специальной деятельности для рассмотрения;

— временная учетная запись создается администратором ЛВС;

— пользователь, получивший временную учетную запись, информируется об ограничениях, связанных с ее использованием.

VI. Контроль

6.1. Повседневный контроль за соблюдением требований настоящего Положения заключается в контроле процессов использования и изменения учетных записей, процессов доступа к ресурсам, процессов изменения учетных записей Отделом организационной и специальной деятельности.

6.2. Отдел организационной и специальной деятельности проводит ежеквартальный выборочный контроль выполнения работниками Роспатента требований настоящего Положения. О фактах несоответствия качества паролей или условий обеспечения их сохранности Отдел организационной и специальной деятельности сообщает заместителю руководителя Роспатента в форме служебной записки.

6.3. Контроль за выполнением требований настоящего Положения возлагается на Отдел организационной и специальной деятельности.

VII. Ответственность

7.1. Пользователи АРМ Роспатента несут персональную ответственность за несоблюдение требований по парольной защите.

7.2. Администратор ЛВС, сотрудники Отдела организационной и специальной деятельности несут ответственность за компрометацию и нецелевое использование учетных записей.

7.3. Форма и степень ответственности определяются исходя из вида и размера ущерба, действиями либо бездействием соответствующего пользователя.

Обзор документа

Регламентированы процессы генерации, смены и прекращения действия паролей в локальной вычислительной сети Роспатента.

Приведены требования к паролям. Определены меры обеспечения безопасности при их использовании. В частности, пользователь несет персональную ответственность за сохранение в тайне личного пароля. Запрещено сообщать пароль другим лицам, а также хранить записанный пароль в общедоступных местах.

Прописан порядок осуществления контроля за действиями пользователей и обслуживающего персонала сети при работе с паролями.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Читать еще:  Дополнительная защита к антивирусу

Парольная политика и защита операционных систем

Парольная политика

Описание цели и области применения

Пароль — один из важных компонентов информационной безопасности, ибо из-за плохого пароля в разы повышается риск НСД в информационную систему предприятия. Все сотрудники предприятия несут ответственность за выполнение правил парольной политики безопасности.

Целью парольной политики является реализация стандартов, для создания сильных и стойких паролей. Такая политика применяется ко всем сотрудникам предприятия, которые имеют доступ к информационной системы. Политика имеет следующие правила:

  • Пароли всех пользователей системы должны меняться ежеквартально
  • Все пароли пользователей должны храниться в базе данных в шифрованном виде с ограниченным доступом
  • Пароль дающий дополнительные права к основным (админ/sudo), должен быть уникальный относительно других паролей
  • Нельзя передавать пароли с помощью открытого соединения Интернет

Инструкции парольной политики

Пароли могут давать доступ к разным объектам (почта, веб-ресурс, маршрутизатор и тд). Токены поддерживают мало систем, и поэтому нужно использовать стойкие пароли. Плохие пароли можно определить по следующим критериям:

  • длина меньше 8 символов
  • Пароль является словом, который есть в словарях
  • содержит имя любого персонажа
  • содержит термины из разных областей науки
  • имеет географические название, или адресов

Критерии сильных паролей:

  • Имеет буквы и верхнего и нижнего регистра
  • Имеет знаки и числа
  • Длина больше 8 символов
  • Не основан на персональной информации

Правила парольной защиты

Нельзя использовать один и тот же пароль для доступа к разным ресурсам, как на работе так и дома. Пароли сотрудника является конфиденциальной информацией, и вы никому не обязанны сообщать его (даже сис. админу(!)). Также нельзя записывать пароли в любом его виде, даже в зашифрованном. Любой работник нарушивший парольную политику, может быть уволен.

Парольная защита ОС

Контроль доступа на основе наличия у пользователя идентификационную информацию самый распространен. Так как его использования не просит много затрат сил,времени или места в памяти, то он реализуется на компьютерах где не нужны методы защиты информации. Пароль дает пользователю психологический комфорт. Часто пароль используют с другими средствами защиты, что повышает уровень защиты от НСД. При стандартном алгоритме входа, каждый пользователь должен ввести свое имя и пароль. Администратор который следит за паролями, не должен применять плохо запоминаемых или случайных паролей, это может произвести к тому, что пользователь запишет пароль на носитель который может быть раскрыт.

Пароли, обычно используют как ключ для входа в систему, но их также используют и для шифрования, или блокирования записи, когда нужна уверенность в использовании только законного владельца или доверенного лица. Бывает так, что по сей день единственным рубежом между системой и злоумышленником остается пароль операционной системы. Если бы не обязательное условие при создании пользователя, что нужно ввести пароль, кто его знает. Перебором подобрать врядли получится, так как стоят ограничение на количество неправильных попыток ввода. Используют атаку на системный файл, где содержится информация о пользователях и паролях. Этот файл защищен даже от пользователя с правами администратора. Но пути злоумышленников не неисповедимы. При наличии такого файла злоумышленник использует специальные программы, для взлома файла. Они реализуют криптографические алгоритмы что бы можно было дешифровать пароли. Время, которое нужно для взлома пароля зависит от длины пароля и мощности компьютера. Но пользователи ленятся создавать длинные пароли, в итоге имеем то, что короткие пароли ломаются быстро. Также можно использовать специальные словари, в которых записаны различные варианты паролей.

Противостоять таким атакам можно использовав сложный пароль. Пароли можно поделить на:

  • пароли которые генерируются системой
  • пароли которые задают пользователи
  • полуслова
  • случайные коды доступа, которые генерируются системой
  • строгие пароли
  • интерактивные последовательности, типа вопрос-ответ

Есть меры системы, которые запрашивают дополнительные меры по стойкости пароля. К примеру по длине набора символов. Также может просить включить цифры и заглавные буквы. Также когда пользователь впервые запускает компьютер и ему предлагают создать пароль, он долго не задумывается так как времени не много.

Одноразовые коды — это пароли которые действительны только один раз. Они могут использоваться для гостевого пользователя или для первого вхождения в систему пользователем. Для стойкого пароля нужно что бы пароль был в рамках:

  • большой длины
  • имел прописные и строчные буквы
  • иметь цифры
  • иметь специальные символы

Политика парольной защиты

Инструкция по организации парольной защиты

1. Общие положения

1.1 Настоящая инструкция устанавливает порядок и правила генерации, использования паролей в информационных системах организации.

1.2 Требования настоящей инструкции распространяются на всех сотрудников организации.

1.3 Бесконтрольность в определении и использовании паролей может повлечь риск несанкционированного доступа к информации организации, повлечь мошеннические и другие действия информационных системах, которые могут нанести материальный вред и ущерб репутации организации.

2. Требования к паролям

2.1 Пароли не должны основываться на каком-либо одном слове, выданном идентификаторе, имени, кличке, паспортных данных, номерах страховок и т.д.

2.2 Пароли не должны основываться на типовых шаблонах и идущих подряд на клавиатуре или в алфавите символов, например, таких, как: qwerty, 1234567, abcdefgh и т.д.

2.3 Пароли должны содержать символы как минимум из трех следующих групп:

  • Строчные латинские буквы: abcd. xyz;
  • Прописные латинские буквы: ABCD. XYZ;
  • Цифры: 123. 90;
  • Специальные символы: !%() _+ и т.д.

2.4 Требования к длине пароля:

  • Для обычных пользователей ‑ не менее 8 символов;
  • Для администраторов (локальногодоменного) ‑ не менее 15 символов;
  • Для сервисных идентификаторов, разделяемых ключей (shared keys) ‑ не менее 14 символов;
  • Для SNMP Community Strings — не менее 10 символов.

2.5 Периодичность смены пароля:

  • Административные – каждые 60 дней;
  • Пользовательские– каждые 90 дней;
  • Сервисные – не реже двух раз в год;
  • Shared keys SNMP Community Strings — не реже одного раза в год.

2.6 Пароли не должны храниться и передаваться в незашифрованном виде по публичным сетям (локальная вычислительная сеть, интернет, электронная почта).

2.7 . В ходе работы не должны использоваться встроенные идентификаторы. Для них должны быть назначены пароли, отличные от установленных производителем. К ним предъявляются требования, аналогичные требованиям к сервисным паролям.

2.8 Пароли нельзя записывать на бумагу, в память телефона и т.д. Нельзя сообщать, передавать кому-либо пароль.

Читать еще:  Средства защиты серверов

2.9 Хеши паролей должны проверяться в ходе внутреннего аудита администратором информационной безопасности не реже двух раз в год с помощью типовых атак на подбор.

Возможна также проверка соответствия пароля требованиям данной инструкции в присутствии пользователя: пользователь называет свой пароль, а проверяющий осуществляет ввод пароля и его проверку. После такой проверки требуется обязательная и немедленная смена пароля.

2.10 Пароли сервисных идентификаторов должны входить в процедуру управления паролями УА, включающую хранение их в защищенном месте, разделение секрета, периодическую смену (1 раз в год).

3. Требования к настройкам безопасности информационных систем

3.1 Учетная запись должна блокироваться после 5 неверных попыток доступа не менее, чем на 15 минут.

3.2 Запрещается использовать функции «Запомнить пароль» в любом программном обеспечении.

4. Требования к паролям сервисных учетных записей

4.1 Пароли для сервисных учетных записей должны формироваться ответственным за сервисную учетную запись и администратором информационной безопасности.

4.2 Длина каждой половины пароля должна быть не меньше 7 символов, сложность пароля указана в п.2.3. Перед запечатыванием конверта, обязательно проверить правильность смены пароля в информационной системе, делая соответствующую запись в журнале.

4.3 Пароль должен меняться не реже двух раз в год, или немедленно в случае увольнения или смены полномочий одного или двух ответственных за формирование пароля.

4.4 Каждая половина пароля сохраняется в отдельном конверте, исключающем возможность увидеть пароль через конверт, например, путем просвечивания конверта ярким светом. Конверты хранятся в сейфе начальника УА.

4.5 Каждая генерациясменавскрытие пароля или конверта должна обязательно формироваться соответствующей записью в журнале.

4.6 Администратор информационной безопасности, должен ежемесячно проверять наличие конвертов, целостность.

4.7 Вскрытие конвертов может произвести:

  • ответственный за информационную систему;
  • администратор информационной безопасности;
  • Начальник УА

4.8 Конверты вскрываются одним лицом, с последующей регистрацией в журнале, при этом обязательно информирование администратора информационной безопасности с использованием почтовой рассылки.

4.9 В случае вскрытияиспользования конвертов, по окончании выполнения работ необходимо произвести работы по созданию нового пароля с п.4.1

4.10 Администраторы оказывают помощь и содействия администратору информационной безопасности при проведении аудитов, управление сервисными, административными паролями, shared keys и SNMP Community Strings, включая генерацию паролей, их изменение и хранение в безопасном месте, а также настройку информационных систем для соблюдения данных требований.

4.11 Администратор по информационной безопасности несёт осуществляет аудит требований данной политики, разрабатывает процедур управления идентификаторами.

4.12 Пользователи информационных ресурсов обязаны соблюдать требования данной Инструкции при выборе пароля и работе с ним.

5. Ответственность

5.1 Виновные в нарушении условий настоящей Инструкции несут ответственность в соответствии с законодательством Российской Федерации, трудовым договором, должностной инструкцией.

6. Заключительные положения

6.1 Общий текущий контроль исполнения настоящей инструкции осуществляет АИБ.

6.2 АИБ поддерживает настоящую инструкцию в актуальном состоянии.

6.3 Изменения и дополнения в настоящую инструкцию утверждаются директором организации.

6.4 Инструкция вступает в силу с момента утверждения директором организации.

Скачать ZIP файл (17633)

Пригодились документы — поставь «лайк» или поддержи сайт материально:

Парольная политика

1. Описание

Пароли — один из важнейших аспектов информационной безопасности, так как плохо подобранный пароль повышает потенциальный риск несанкционированного доступа в информационную систему компании. Все сотрудники «ВАША КОМПАНИЯ» (включая подрядчиков и третью сторону) несут ответственность за выполнение требований настоящей политики.

2. Цель

Цель этой политики установить стандарты создания сильных паролей, их защиту, хранение и частоту изменения.

3. Область применения

Эта политика относится ко всему персоналу, кто имеет или ответственен за доступ к конфиденциальной информации всех уровней (или любая форма доступа, которая поддерживает или требует пароля) на любой системе, оборудовании, имеющем доступ (или хранящем конфиденциальную информацию) к Вашей корпоративной сети.

4. Политика

5. Инструкции

Инструкция по созданию пароля. «ВАША КОМПАНИЯ» использует пароли для различных целей. Среди них: доступ к учётной записи пользователя, к веб-интерфейсам, к электронной почте, для защиты хранителя экрана, пароли голосовой почты и доступ к маршрутизаторам. Поскольку очень мало систем поддерживают токены с одноразовыми паролями (динамические пароли, которые используются только один раз), следует знать как выбрать стойкий пароль.

Плохие, слабые пароли обладают следующими признаками:

6. Параметры сильных паролей

Создавайте легкозапоминаемые пароли. Одним из способов создания таких паролей, использовать песни, стихи и другие легкозапоминающиеся фразы. Например из фразы: «This May Be One Way To Remember» можно получить такие пароли: «TmB1w2R!» или «Tmb1W>r

» и другие варианты.

Внимание: Не используйте ни один из предыдущих примеров в качестве пароля!

7. Правила парольной защиты

Если кто-либо требует сообщить ваш пароль, сошлитесь на этот документ или попросите позвонить в отдел информационной безопасности.

Если вы считаете, что учётная запись или пароль скомпрометированы, сообщите об этом в отдел информационной безопасности «ВАША КОМПАНИЯ» и смените все пароли.

Уполномоченные лица «ВАША КОМПАНИЯ» могут регулярно проводить подбор или попытки взлома паролей. Если пароль будет угадан или взломан во время таких мероприятий, вас попросят сменить пароль.

8. Стандарт разработки приложений

Разработчики приложений должны обеспечить в своих программах следующие меры безопасности:

9. Использование паролей и парольных фраз для удалённого доступа.

Для контроля удалённого доступа к сетям «ВАША КОМПАНИЯ» используйте или одноразовые пароли или ассиметричную ключевую систему со стойкой парольной фразой.

Парольные фразы отличаются от паролей. Парольная фраза более длинная версия пароля и, таким образом, более надёжная. Парольные фразы обычно используются для аутентификации в ассиметричных системах шифрования. Ассиметричная ключевая система определяет математическую связь между открытым ключом, известным всем и закрытым ключом, известным только его владельцу. Без парольной фразы, дающей доступ к закрытому ключу, пользователь не получит доступ.

Парольная фраза обычно состоит из нескольких слов, являясь более устойчивой к атакам по словарю. Хорошая парольная фраза относительно длинная и содержит комбинацию букв в верхнем и нижнем регистре, а также цифры и знаки препинания. Вот пример хорошей парольной фразы: «The*?#>*@TrafficOnThe101Was*&#!#This Morning»

Все правила создания стойких паролей относятся и к парольным фразам.

10. Ответственность

Любой сотрудник, нарушивший настоящую политику, может быть подвергнут взысканию вплоть до увольнения.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector