Контроль в отношении паролей пользователей

 

Пароли являются наиболее распространенными средствами подтверждения идентификатора пользователя при доступе к информационной системе или сервису. Предоставление паролей должно контролироваться посредством формализованного процесса управления, который должен предусматривать:

 

- подписание пользователями документа о необходимости соблюдения полной конфиденциальности личных паролей, а в отношении групповых паролей - соблюдения конфиденциальности в пределах рабочей группы (это может быть включено в условия трудового договора, 6.1.4);

 

- в случаях, когда от пользователей требуется управление собственными паролями, необходимо обеспечивать предоставление безопасного первоначального временного пароля, который пользователя принуждают сменить при первой регистрации в системе. Временные пароли используются в тех случаях, когда пользователи забывают свой личный пароль, и должны выдаваться только после идентификации пользователя;

 

- обеспечение безопасного способа выдачи временных паролей пользователям. Следует избегать использования незащищенных (открытый текст) сообщений электронной почты или сообщений по электронной почте от третьей стороны. Пользователям необходимо подтверждать получение паролей.

 

Пароли никогда не следует хранить в компьютерной системе в незащищенной форме. При необходимости следует рассматривать возможности других технологий для идентификации и аутентификации пользователя, такие как биометрия (проверка отпечатков пальцев), проверка подписи, и использование аппаратных средств идентификации (чип-карт, микросхем).

 

Пересмотр прав доступа пользователей

 

Для поддержания эффективного контроля доступа к данным и информационным услугам руководство периодически должно осуществлять формализованный процесс пересмотра прав доступа пользователей, при этом:

 

- права доступа пользователей должны пересматриваться регулярно (рекомендуемый период - 6 месяцев) и после любых изменений (9.2.1);

 

- авторизация специальных привилегированных прав доступа (9.2.2) должна осуществляться через меньшие интервалы времени (рекомендуемый период - 3 месяца);

 

- предоставленные привилегии должны периодически проверяться для обеспечения уверенности в том, что не были получены неавторизованные привилегии.

 

9.3 Обязанности пользователей

 

Цель: предотвращение неавторизованного доступа пользователей к информации.

 

Взаимодействие авторизованных пользователей является важным аспектом эффективности безопасности.

 

Необходимо, чтобы пользователи были осведомлены о своих обязанностях по использованию эффективных мероприятий по управлению доступом, в частности, в отношении паролей и безопасности оборудования, с которым они работают.

 

Использование паролей

 

Пользователи должны соблюдать определенные правила обеспечения безопасности при выборе и использовании паролей.

 

С помощью паролей обеспечивается подтверждение идентификатора пользователя и, следовательно, получение доступа к средствам обработки информации или сервисам. Все пользователи должны быть осведомлены о необходимости:

 

а) сохранения конфиденциальности паролей;

 

б) запрещения записи паролей на бумаге, если только не обеспечено безопасное их хранение;

 

в) изменения паролей всякий раз, при наличии любого признака возможной компрометации системы или пароля;

 

г) выбора качественных паролей с минимальной длиной в шесть знаков, которые:

 

1) легко запомнить;

 

2) не подвержены легкому угадыванию или вычислению с использованием персональной информации, связанной с владельцем пароля, например, имен, номеров телефонов, дат рождения и т.д.;

 

3) не содержат последовательных идентичных символов и не состоят из полностью числовых или полностью буквенных групп;

 

д) изменения паролей через равные интервалы времени или после определенного числа доступов и исключения повторного или цикличного использования старых паролей (пароли для привилегированных учетных записей следует менять чаще, чем обычные пароли);

 

е) изменения временных паролей при первой регистрации в системе;

 

ж) запрещения включения паролей в автоматизированный процесс регистрации, например, с использованием хранимых макрокоманд или функциональных клавиш;

 

з) исключения коллективного использования индивидуальных паролей.

 

Если пользователи нуждаются в доступе к многочисленным услугам или бизнес-приложениям и вынуждены использовать многочисленные пароли, можно порекомендовать возможность использования одного качественного пароля (9.3.1.г) для всех сервисов, обеспечивающих разумный уровень защиты хранимого пароля.