Політика парольного захисту
П - 15
версія 3.0
ТОВ "Бінотел"
Затверджено:
Генеральний директор
Корзун А.В.
02 вересня 2021 року
Переглянуто 15 липня 2022 року
Переглянуто 23 липня 2023 року
1. Терміни, абревіатури та скорочення
СУІБ – система управління інформаційної безпеки
КІБ – комітет з інформаційної безпеки.
Інформаційні активи - всі комп'ютерні системи, програмне забезпечення та інше периферійне обладнання, що використовується для обробки або зберігання даних, а також інформація, що обробляється цими системами
Інформаційні системи (ІС) - комп'ютерні системи, програмне забезпечення, телекомунікаційне та периферійне обладнання
Пароль – певна послідовність символів, яка використовується для ідентифікації та аутентифікації (підтвердження достовірності)
Користувач - співробітник, який має доступ до ІС та якому надано право використання ресурсів ІС
2. Призначення та сфера застосування
Політика парольного захисту (далі - Політика) є офіційним документом, який описує та регламентує правила керування паролями: вибору паролів, організаційно-технічне забезпечення процесів генерації паролів, захисту паролів, зміни та припинення дії паролів.
Основними засадами політики є підтримання належного парольного захисту ІС.
Метою цієї політики є стандартизація правил адміністрування та створення паролів, їх захисту, зберігання та частоти зміни.
Дія Політики поширюється на всі інформаційні активи, всіх співробітників та всі треті сторони, які мають доступ до інформаційних активів.
3. Нормативні посилання
Політика розроблена відповідно до вимог чинних документів:
• Міжнародний стандарт ISO/IEC 27001:2013 «Інформаційні технології. Методи захисту. Системи керування інформаційною безпекою. Вимоги»;
• Міжнародний стандарт ISO/IEC 27002:2013 «Інформаційні технології. Методи захисту. Практичні правила управління інформаційною безпекою».
4. Предмет Політики
Персональні паролі в ІВ, які передбачають авторизацію, мають вибиратися користувачами самостійно з урахуванням таких вимог:
Довжина пароля повинна бути не менше ніж 12 символів.
У складі символів пароля обов'язково повинні бути символи не менше ніж з трьох груп:
1 група – латинські літери у верхньому регістрі (A-Z)
2 група – латинські літери в нижньому регістрі (a-z)
3 група – цифри (0-9);
4 група – спеціальні символи (@, *, &, $...).
При зміні пароля нове значення має відрізнятися від попереднього щонайменше ніж у 4 позиціях.
Пароль не повинен включати:
• легко вгадувати поєднання символів: імена, прізвища, відомі назви, абревіатури, клички домашніх тварин, номери своїх автомобілів та телефонів, та інші значущі поєднання літер та знаків, які можна вгадати, ґрунтуючись на інформації про користувача;
• прості послідовності символів: 11111111, 12345678, qwerty, zxcv, abcde, A1qwerty, L0poiuyt і т.п.
Користувачам забороняється:
• Розголошувати та надсилати власні або групові паролі (телефоном, повідомленнями електронної пошти, іншим способом).
• Використовувати чужі паролі під час роботи в ІС.
• Використовувати однакові паролі в ІС Компанії та в особистих системах.
• Записувати паролі на паперових, електронних та інших носіях.
• Зберігати паролі у програмному коді, коментарях програмного коду, конфігураційних файлах тощо.
• Зберігати паролі у листах електронної пошти.
• Використовувати можливість "Запам'ятати пароль".
• Використовувати порожні паролі (паролі нульової довжини).
Якщо користувачеві був згенерований пароль адміністратором або автоматично ІС, то при першому вході в систему користувач повинен змінити пароль і при цьому повинна бути включена опція - "примусова зміна пароля при першому вході" з інформаційної системи, в якій виконується автентифікація користувача.
Усі факти невдалого введення пароля та зміни пароля користувачем повинні реєструватися у системному журналі ІС.
Термін дії паролів користувача в ІС Компанії повинен бути не більше 90 днів.
Термін дії групових, системних та інших паролів встановлюється адміністратором системи за погодженням з Керівником СУІБ, але термін дії не повинен перевищувати 1 року.
У разі втрати або компрометації пароля користувачеві необхідно негайно вжити заходів щодо зміни пароля.
Заборонено вводити робочі логіни та/або паролі на чужих пристроях.
Усі винятки з пунктом 4 цієї Політики, які неможливо реалізувати з технічних причин, мають бути узгоджені з керівником СУІБ.
5. Ролі та обов'язки
Керівництво Компанії сприяє створенню, впровадженню, контролю та підтримці Політики.
Стратегія розвитку інформаційних технологій, усі проекти, пов'язані з інформаційними технологіями, узгоджуються з Політикою.
Політика передбачає відповідний аналіз та реакцію на той чи інший інцидент. За результатами аналізу вживаються заходи, створені задля недопущення повторення подібних інцидентів чи мінімізацію ймовірності їх повторення.
Організаційне та технічне забезпечення процесів генерації, використання, зміни, зберігання, захисту та припинення дії паролів у всіх ІС, контроль дій виконавців та користувачів покладається на посадових осіб, які керують механізмами ідентифікації та аутентифікації.
До посадових осіб, які керують механізмами ідентифікації та аутентифікації належать працівники, які мають доступ до систем адміністрування ІС (адміністратори локальних та мережевих ресурсів, адміністратори баз даних, адміністратори прикладних систем, адміністратори додатків, адміністратори захисту інформації).
У межах своїх службових обов'язків та повноважень працівники повинні виконувати та відповідати за виконання вимог Політики та несуть персональну відповідальність за їх порушення відповідно до законодавства України та внутрішніми нормативними документами Компанії.
6. Перегляд документа
Перегляд Політики відбувається за потребою, але не рідше одного разу на рік від дати затвердження.