- •Лекция 4 Политика безопасности (пб) информационного объекта
- •4.1 Рекомендуемые области разработки пб
- •4.2 Основные требования к пб
- •4.3 Эффективность и методы её оценки
- •4.4 Жизненный цикл пб
- •Раздел 1. Общие положения
- •Раздел 2. Политика управления паролями
- •4.5.3. Этапы разработки пб. Этап 1. Разработка пб. Стадия 1.1. Разработка концепции политики информационной безопасности.
Раздел 1. Общие положения
Обеспечение информационной безопасности является необходимым условием для осуществления деятельности Предприятия. Нарушение информационной безопасности может привести к серьезным последствиям, включая потерю доверия со стороны клиентов и снижение конкурентоспособности.
Основой мер по обеспечению режима информационной безопасности административного уровня, то есть мер, предпринимаемых руководством организации, является политика безопасности. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности Предприятия определяет основные направления и требования по обеспечению информационной безопасности Предприятия.
Обеспечение безопасности информации включает в себя любую деятельность, направленную на защиту информации и/или поддерживающей инфраструктуры. Настоящая политика информационной безопасности охватывает все автоматизированные и телекоммуникационные системы, владельцем и пользователем которых является Предприятие. Положения настоящего документа относятся ко всему штатному персоналу, временным служащим и другим сотрудникам Предприятия, а также клиентам Предприятия и третьим лицам, имеющим доступ к автоматизированным и телекоммуникационным системам Предприятия.
Раздел 2. Политика управления паролями
Пользователи должны выбирать нестандартные пароли. Это означает, что пароли не должны быть связаны с занятиями или личной жизнью пользователей. Например, нельзя использовать в качестве пароля номер собственного автомобиля, имя супруги или часть адреса. Это также означает, что пароль не должен быть просто словом из словаря. Так, не должны использоваться в качестве паролей имена собственные, географические названия, технические термины и сленг. Если имеются соответствующие системные программные средства для осуществления контроля надежности назначаемых пользователям паролей, то необходимо использовать эти средства для того, чтобы запретить пользователям выбор легко угадываемых паролей.
Пользователи могут выбрать легко запоминающиеся пароли, которые в тоже время являются трудно угадываемыми для третьих лиц, если будет выполнено хотя бы одно из следующих условий:
-
Несколько слов написаны слитно (такие пароли известны под названием «passphrases»);
-
При наборе слова на клавиатуре использованы клавиши, смещенные относительно нужных, на один ряд вверх, вниз, вправо или влево;
-
Слово набрано со смещением на определенное количество букв вверх или вниз по алфавиту;
-
Комбинация цифр и обычного слова;
-
Намеренно неправильное написание слова (но не обычная в данном слове орфографическая ошибка).
Рекомендуется, чтобы в пароле имелись не только буквы, но и другие символы, то есть цифры (0-9) и знаки пунктуации. Использование управляющих символов и прочих неотображаемых знаков не рекомендуется, поскольку из-за этого могут возникнуть проблемы при передаче данных по сети, неожиданно активизироваться определенные системные утилиты или возникнуть другие побочные эффекты.
Все пароли должны состоять не менее чем из шести символов. Длина паролей должна всегда автоматически проверяться в тот момент, когда пользователи создают или выбирают пароли. Пользователи не должны создавать пароли, которые идентичны или в значительной степени повторяют ранее используемые ими пароли. Если имеются соответствующие системные программные средства, необходимо запретить пользователям, повторно использовать свои предыдущие пароли.
Пароли не должны храниться в доступной для чтения форме в командных файлах, сценариях автоматической регистрации, программных макросах, функциональных клавишах терминала, на компьютерах с неконтролируемым доступом, а также в иных местах, где неуполномоченные лица могут получить к ним доступ. Например, ни в каких приложениях пользователи не должны выбирать такую опцию конфигурации, как автоматическое сохранение пароля.
Нельзя записывать пароли и оставлять эти записи в местах, где к ним могут получить доступ неуполномоченные лица. Пароль должен быть немедленно изменен, если имеются основания полагать, что данный пароль стал известен кому-либо еще, кроме самого пользователя.