Управление паролями пользователей

Тестирование процедур и регламентов по обеспечению информационной безопасности

Необходимо тщательно протестировать отдельные процедуры и регламенты, предусмотренные настоящим Планом, отработать последовательность действий персонала, администраторов ИС и ОИБ при реагировании на нарушения безопасности. При тестировании следует обращать особое внимание на подготовленность ответственных сотрудников к выполнению регламентов и процедур, наличие необходимого инструментария для обслуживания системы и других программно-аппаратных ресурсов, а также соответствие настоящего Плана, процедур и регламентов реальному положению дел.

Необходимо проверить наличие и работоспособность специализированных программно-технических средств защиты информации, таких как средства мониторинга, аудита безопасности, межсетевые экраны, антивирусные средства и т.п.

В случае необходимости должны быть заключены стратегические союзы, соглашения и договора с другими предприятиями или организациями (поставщиками, сервисными центрами, консалтинговыми фирмами и т.п.) с целью проведения мероприятий по восстановлению работоспособности ИС с привлечением дополнительных средств союзников и расследования нарушений безопасности.

Мониторинг состояния ИС проводится администраторами регулярно в соответствии с планом. В соответствии с утвержденным регламентом должен систематически проводиться мониторинг работоспособности аппаратных компонентов ИС. Наиболее существенные компоненты системы, имеющие встроенные средства контроля работоспособности (серверы ЛВС, активное сетевое оборудование) должны контролироваться постоянно в рамках работы дежурных администраторов.

Пароль является одним из основных средств аутентификации в ИС Компании. Зарегистрировавшись на сервере под конкретным паролем, пользователь получает доступ к тем ресурсам, к которым ему предоставлены права доступа в соответствии с выполняемыми функциями. Узнав имя пользователя и его пароль, злоумышленник может выполнять действия и просматривать информационные ресурсы от имени легального пользователя. В данной ситуации возможны как финансовые потери от действий злоумышленника, так и потеря доверия со стороны клиентов и партнеров Компании.

Возможно использование двух схем выработки паролей:

1. Пароли генерируются для каждого пользователя с использованием специального ПО.
2. Каждый пользователь самостоятельно выбирает для себя пароль.

В первой схеме, с использованием специализированного ПО, гарантируется необходимая стойкость пароля (длина, уникальность, необходимая мощность алфавита, невозможность подбора методом полного перебора и т.д.). Но возникают трудности для пользователей с запоминанием сгенерированных паролей.

Кроме того, используя данную схему, необходимо решить ряд организационных вопросов:

• Процедуру выдачи паролей пользователям;
• Способ хранения носителя с выданным паролем (например, индивидуальный сейф в охраняемом помещении);
• Контроль использования носителя и его дальнейшее уничтожение после смены пароля.

Данную схему целесообразно применять при наличии отлаженных механизмов режимного делопроизводства.

Вторая схема лишена перечисленных недостатков, но при ее реализации не гарантирована необходимая стойкость пароля (по статистике около 80% пользователей используют очень простые, легко ассоциируемые с самим пользователем пароли).

Ниже приведены общие правила работы с паролями, обязательные для использования в ИС Компании.

1. Идентификаторы пользователей и их пароли должны быть уникальными для каждого пользователя.
2. Пароли должны состоять как минимум из 7 символов.
3. Пароль должен быть трудноугадываемым. Пароль не должен совпадать с именем пользователя. Паролем не может быть слово на русском или иностранном языках. В пароле не должна в явном виде использоваться информация, ассоциируемая с владельцем пароля (имя, фамилия, дата рождения, номер автомобиля, имена близких родственников и т.п.).
4. Пароли должны держаться в секрете, то есть не должны сообщаться другим людям, не должны вставляться в тексты программ, и не должны записываться на бумаге либо на обратной стороне клавиатуры и т.п.
5. Пароли должны меняться каждые 90 дней (или через другой период, определенный ответственным лицом). Большинство систем могут заставить принудительно поменять пароль через определенное время и предотвратить использование того же самого или легко угадываемого пароля. Для привилегированных пользователей необходима более частая смена паролей (через каждые 45 дней).
6. Пользователи и администраторы ИС обязаны изменять пароль каждый раз, когда есть подозрение о его компрометации.
7. Средства защиты должны быть сконфигурированы таким образом, что бы учетные записи пользователей блокировались после 3 неудачных попыток входа в систему. Все случаи неверно введенных паролей должны быть записаны в системный журнал, используемый для анализа попыток проникновения в систему.
8. При успешном входе в систему должны отображаться дата и время последнего входа в систему.
9. Сеансы пользователей с сервером должны блокироваться после 15-минутной неактивности пользователя (или по истечении другого указанного периода времени). Для возобновления сеанса должен снова требоваться ввод пароля.
10. Учетные записи пользователей должны блокироваться после определенного времени неиспользования.
11. Должно производиться периодическое тестирование специальными программными средствами (взломщиками паролей) процедуры выбора паролей для случайно выбранных пользователей. Целью тестирования является выявление легко угадываемых паролей.
12. Не следует включать пароли в сценарии для автоматического входа в системы (например, в макросы).
13. Рекомендуется использовать однонаправленные хэш-функции и алгоритмы шифрования для защиты пользовательских паролей, хранимых в системе.

Пользователи, в результате действий (ненадлежащим образом выбран пароль) которых произошло раскрытие критичной информации, несут ответственность в соответствии с правилами, установленными в Компании.

Контроль за выполнением настоящих рекомендаций возлагается на администратора безопасности. Для усиления политики управления паролями и контроля надежности пользовательских паролей администратору безопасности необходимо:

• Установить программу, осуществляющую проверку пользовательских паролей на очевидность с целью выявления слабых паролей, которые легко угадать, или дешифровать с помощью специализированных программных средств (взломщиков паролей), или использовать встроенные системные средства;
• Периодически использовать взломщики паролей для выявления слабых паролей и принуждения пользователей к их смене.

Для выполнения своих функциональных обязанностей по управлению паролями и контролю надежности пользовательских паролей администратору безопасности должны быть предоставлены соответствующие полномочия, позволяющие осуществлять доступ к системным файлам, содержащим пользовательские пароли.