Читаем Политики безопасности компании при работе в Интернет полностью

Суть политики

Общие вопросы:

• все пароли уровня системы (например, для root в системах UNIX, для enable в оборудовании Cisco, для administrator в системах Windows, администраторские пароли в приложениях и т. д.) должны меняться по крайней мере один раз в квартал;

• все пароли на критичные элементы инфраструктуры (серверы, приложения, активное сетевое оборудование) должны храниться в отделе информационной безопасности;

• все пользовательские пароли (например, пароли для доступа к электронной почте, сети, персональному компьютеру, и т. д.) должны меняться по крайней мере один раз в шесть месяцев. Рекомендованный интервал – четыре месяца;

• учетные записи сотрудников, которым предоставили доступ к административным учетным записям на системах через членство в группах или посредством программ типа sudo, должны иметь пароль, отличный от всех других паролей данного пользователя;

• запрещается отправлять пароли в сообщениях электронной почты или с помощью других форм электронного обмена информацией;

• при использовании SNMP community strings не должны быть значениями по умолчанию и должны отличаться от паролей, используемых для аутентификации в интерактивном режиме. Обязательно использование хешей паролей (например, SNMPv2), если это возможно;

• все пароли должны соответствовать стандартам, приведенным ниже.

Руководства:

 основные принципы выбора паролей;

Пароли используются для учетных записей сотрудников, для доступа к Web-сайтам, к электронной почте, в режим конфигурирования маршрутизатора. Так как очень небольшое число систем поддерживают использование одноразовых (one-time) паролей, каждый должен знать правила выбора защищенного от взлома пароля и неукоснительно следовать им.

Неправильно подобранные пароли имеют следующие особенности:

– содержат меньше восьми символов;

– являются словами, которые можно найти в словаре;

– представляют собой часто используемые слова: фамилии, клички домашних животных, имена друзей, сотрудников и т. д.; компьютерные термины, названия команд, сайтов, компаний, аппаратных средств, программного обеспечения, – дни рождения и другую личную информацию типа адресов и телефонных номеров; слова или числа типа aaabbb, набранные подряд несколько символов на клавиатуре, например qwerty, zyxwvuts, 123321 и т. д.; любой из вышеупомянутых паролей, записанный в обратном порядке; любой из вышеупомянутых паролей, в начале или в конце которого присутствует цифра (например, secret 1, 1 secret).

Устойчивые к взлому пароли имеют следующие особенности:

– содержат как прописные, так и строчные буквы (например, a-z,A-Z);

– имеют цифры и знаки пунктуации, например 0–9! *$ % А* * () _ + | ~-= \

– их длина составляет по крайней мере восемь алфавитно-цифровых символов;

– не являются словами из какого-либо языка, сленга, диалекта, жаргона и т. д.;

– не основаны на личной информации (фамилии, имени);