-
Пользователи должны следовать установленным в Компании процедурам поддержания режима безопасности при выборе и использовании паролей.
Пароли являются основным средством подтверждения прав доступа пользователей к информационным системам.
Пользователь обязан:
-
Не разглашать идентификационные данные.
-
Использовать пароли, отвечающие критериям качественного пароля, принятым в Компании.
-
Менять временный пароль при первом входе в информационную систему.
-
Регулярно менять пароли.
-
Не использовать автоматический вход в систему.
Пример политики создания паролей для учетных записей
Политика паролей для пользовательских учетных записей
-
Длина пароля - не менее 8 символов.
-
Пароль обязательно должен включать в себя прописные и строчные буквы, цифры, специальные символы.
-
Максимальный срок действия пароля должен быть ограничен двумя месяцами.
-
Учетная запись пользователя, не сменившего вовремя пароль, должна автоматически блокироваться. Блокировка должна сниматься "вручную" системным администратором или специалистом службы технической поддержки с одновременной сменой пароля пользователя.
-
Новый пароль пользователя не должен совпадать как минимум с тремя предыдущими паролями.
-
Пароль не должен совпадать с именем учетной записи пользователя.
-
Для предотвращения попыток подбора пароля после 5 неудачных попыток авторизации учетная запись пользователя должна блокироваться на 30 минут, после чего блокировка должна автоматически сниматься. В журнал системных событий сервера должно заноситься сообщение о многократно неудавшихся попытках авторизации пользователя.
-
Рекомендуется, чтобы пароли пользователей на доступ к различным ресурсам корпоративной информационной системы (для учетных записей домена, электронной почты, базы данных) различались.
-
Недопустимо хранение пароля в открытом виде на любых видах носителей информации.
Политика паролей для административных учетных записей
-
Длина пароля - не менее 16 символов.
-
Пароль обязательно должен включать в себя прописные и строчные буквы, цифры, специальные символы.
-
Максимальный срок действия пароля должен быть ограничен одним месяцем.
-
Новый пароль пользователя не должен совпадать как минимум с предыдущим паролем.
-
Пароль не должен совпадать с именем учетной записи пользователя.
-
В случае неудавшейся попытки авторизации в журнал системных событий сервера должно заноситься соответствующее сообщение. При многократных неудавшихся попытках авторизации должно генерироваться предупреждение системы обнаружения вторжений.
-
Пароли на доступ к различным ресурсам должны различаться, не допускается использование универсальных паролей для административных учетных записей.
-
Недопустимо хранение пароля в открытом виде на любых видах носителей информации.
-
Криптографические ключи, используемые для аутентификации, должны быть защищены парольными фразами. Требования к стойкости парольных фраз криптографических ключей идентичны требованиям к паролям административных учетных записей.
-
Поделиться