Правила парольной защиты

Пользователи должны следовать установленным в Компании процедурам поддержания режима безопасности при выборе и использовании паролей.

Пароли являются основным средством подтверждения прав доступа пользователей к информационным системам.

Пользователь обязан:

• Не разглашать идентификационные данные.

• Использовать пароли, отвечающие критериям качественного пароля, принятым в Компании.

• Менять временный пароль при первом входе в информационную систему.

• Регулярно менять пароли.

• Не использовать автоматический вход в систему.

Пример политики создания паролей для учетных записей

Политика паролей для пользовательских учетных записей

1. Длина пароля - не менее 8 символов.

2. Пароль обязательно должен включать в себя прописные и строчные буквы, цифры, специальные символы.

3. Максимальный срок действия пароля должен быть ограничен двумя месяцами.

4. Учетная запись пользователя, не сменившего вовремя пароль, должна автоматически блокироваться. Блокировка должна сниматься "вручную" системным администратором или специалистом службы технической поддержки с одновременной сменой пароля пользователя.

5. Новый пароль пользователя не должен совпадать как минимум с тремя предыдущими паролями.

6. Пароль не должен совпадать с именем учетной записи пользователя.

7. Для предотвращения попыток подбора пароля после 5 неудачных попыток авторизации учетная запись пользователя должна блокироваться на 30 минут, после чего блокировка должна автоматически сниматься. В журнал системных событий сервера должно заноситься сообщение о многократно неудавшихся попытках авторизации пользователя.

8. Рекомендуется, чтобы пароли пользователей на доступ к различным ресурсам корпоративной информационной системы (для учетных записей домена, электронной почты, базы данных) различались.

9. Недопустимо хранение пароля в открытом виде на любых видах носителей информации.

Политика паролей для административных учетных записей

1. Длина пароля - не менее 16 символов.

2. Пароль обязательно должен включать в себя прописные и строчные буквы, цифры, специальные символы.

3. Максимальный срок действия пароля должен быть ограничен одним месяцем.

4. Новый пароль пользователя не должен совпадать как минимум с предыдущим паролем.

5. Пароль не должен совпадать с именем учетной записи пользователя.

6. В случае неудавшейся попытки авторизации в журнал системных событий сервера должно заноситься соответствующее сообщение. При многократных неудавшихся попытках авторизации должно генерироваться предупреждение системы обнаружения вторжений.

7. Пароли на доступ к различным ресурсам должны различаться, не допускается использование универсальных паролей для административных учетных записей.

8. Недопустимо хранение пароля в открытом виде на любых видах носителей информации.

9. Криптографические ключи, используемые для аутентификации, должны быть защищены парольными фразами. Требования к стойкости парольных фраз криптографических ключей идентичны требованиям к паролям административных учетных записей.