ГОСТ Р ИСО/МЭК 27002-2012
прикладных программ) может быть одной из главных причин отказа или нарушения
работы систем.
11.2.3 Управление паролями пользователей
Мера и средство контроля и управления
Распределение паролей необходимо контролировать посредством формального
процесса управления.
Рекомендация по реализации
Процесс должен включать следующие требования:
a) пользователей необходимо обязать подписать заявление о сохранении личных
паролей в тайне и сохранении групповых паролей исключительно в пределах членов
данной группы; это заявление может быть включено в условия и положения занятости
(см. 8.1.3);
b
) если
(см. 11.3.1),
который подлежит немедленной принудительной замене после входа в систему;
c) создание процедур проверки личности пользователя прежде, чем ему будет
предоставлен новый, заменяющий или временный пароль;
d) временные пароли следует выдавать пользователям безопасным способом; при
этом необходимо избегать использования третьих сторон или незащищенного (открытого)
текста сообщений электронной почты;
e) временные пароли должны быть уникальны для каждого пользователя и не
должны быть легко угадываемыми;
f) пользователи должны подтверждать получение паролей;
д) пароли никогда не следует хранить в компьютерных системах в незащищенной
форме;
h) пароли поставщика, установленные по умолчанию, необходимо изменить после
инсталляции систем или программного обеспечения.
Дополнительная информация
Паролиявляютсяраспространеннымсредствомподтвержденияличности
пользователя перед предоставлением ему доступа к информационной системе или
услуге в соответствии с его авторизацией. При необходимости, следует рассмотреть
возможность использования других технологий для идентификации и аутентификации
101