ГОСТ Р ИСО/МЭК 17799—2005
- подписание пользователями документа о необходимости соблюдения полной конфиденциаль
ностиличных паролей, а в отношении групповых паролей— соблюдения конфиденциальности в преде
лах рабочей группы (это может быть включено в условия трудового договора, 6.1.4);
- в случаях, когда от пользователей требуется управление собственными паролями, необходимо
обеспечиватьпредоставление безопасного первоначальноговременного пароля, который пользовате
ля принуждают сменить при первой регистрации в системе. Временные пароли используются в тех слу
чаях. когда пользователи забывают свой личный пароль, и должны выдаваться только после
идентификации пользователя;
- обеспечение безопасного способа выдачи временных паролей пользователям. Следует избе
гать использования незащищенных (открытый текст) сообщений электронной почты или сообщений по
электроннойпочтеоттретьейстороны. Пользователямнеобходимоподтверждатьполучениепаролей.
Пароли никогда неследует хранитьв компьютернойсистеме в незащищенной форме. При необхо
димости следует рассматривать возможностидругихтехнологийдля идентификации иаутентификации
пользователя, такие какбиометрия (проверкаотпечатков пальцев), проверка подписи, и использование
аппаратных средств идентификации (чип-карт, микросхем).
9.2.4 Пересмотр прав доступа пользователей
Для поддержания эффективного контроля доступа кданным и информационным услугам руково
дство периодически должно осуществлять формализованный процесс пересмотра прав доступа
пользователей, при этом:
- права доступа пользователей должны пересматриваться регулярно (рекомендуемый период —
6 месяцев) и после любых изменений (9.2.1);
- авторизация специальных привилегированных прав доступа (9.2.2) должна осуществляться
через меньшие интервалы времени (рекомендуемый период — 3 месяца);
- предоставленные привилегиидолжны периодически проверятьсядля обеспечения уверенности
в том, что не были получены неавторизованные привилегии.
9.3 Обязанности пользователей
Цель: предотвращение неавторизованного доступа пользователей к информации.
Взаимодействие авторизованных пользователей является важным аспектом эффективности
безопасности.
Необходимо, чтобы пользователи были осведомлены о своих обязанностях по использованию
эффективныхмероприятий поуправлениюдоступом, в частности, вотношении паролей ибезопасности
оборудования, с которым они работают.
9.3.1 Использование паролей
Пользователи должны соблюдатьопределенные правила обеспечения безопасности при выборе
и использовании паролей.
С помощью паролей обеспечивается подтверждение идентификатора пользователя и. следова
тельно, получение доступа к средствам обработки информации или сервисам. Все пользователи дол
жны быть осведомлены о необходимости:
а) сохранения конфиденциальности паролей:
б) запрещения записи паролей на бумаге, если только не обеспечено безопасное их хране
ние;
в) изменения паролей всякий раз, при наличии любого признака возможной компрометации
системы или пароля;
г) выбора качественных паролей с минимальной длиной в шесть знаков, которые:
1) легко запомнить;
2) не подвержены легкому угадыванию или вычислению с использованием персональной
информации, связанной с владельцем пароля, например, имен, номеров телефонов, дат рож
дения и т.д.;
3) не содержат последовательных идентичных символов и не состоят из полностью числовых
или полностью буквенных групп;
д) изменения паролей через равные интервалы времени или после определенного числа дос
тупов и исключения повторного или цикличного использования старых паролей (паролидля привилеги
рованных учетных записей следует менять чаще, чем обычные пароли);
е) изменения временных паролей при первой регистрации в системе;
ж) запрещения включения паролей в автоматизированный процесс регистрации, например,
с использованием хранимых макрокоманд или функциональных клавиш:
з) исключения коллективного использования индивидуальных паролей.
30