Перейти к содержимому Перейти к меню переводов
Search Icon

Последнее изменение: 19 марта, 2025

Политика № 4204 Процедура ввода пароля

Обзор

Пароли - важнейший компонент информационной безопасности. Пароли служат для защиты учетных записей пользователей; однако неправильно составленный пароль может привести к компрометации отдельных систем, данных или всей сети. В этом руководстве приведены лучшие методы создания надежных паролей.

Назначение

Цель этой процедуры - установить стандарт для создания надежных паролей, защиты этих паролей и частоты их смены.

Объем/ответственность

Эта процедура распространяется на весь персонал и организации, работающие от имени округа, которые имеют или несут ответственность за любую учетную запись (или любую форму доступа, которая поддерживает или требует пароль) в любой системе, которая находится в любом объекте PCSD или подключена к нему.

Процедура

Чтобы свести к минимуму возможность несанкционированного доступа, все пароли должны соответствовать или превышать рекомендации по созданию надежных паролей.

Характеристики пароля

  • Надежные пароли:
    • Содержит не менее 12 буквенно-цифровых символов
    • Содержат как прописные, так и строчные буквы
    • Содержать хотя бы одну цифру (например, 0-9)
    • Содержит по крайней мере один специальный символ (например, !$%^&*()_+|~-=\`{}[]:";'?,/)
  • Плохие или слабые пароли:
    • Содержат менее восьми символов
    • Могут быть найдены в словаре, в том числе иностранного языка, или существовать в сленге, диалектах или жаргоне
    • Содержат личную информацию, такую как даты рождения, адреса, номера телефонов, имена членов семьи, домашних животных, друзей или вымышленных персонажей
    • Содержат информацию, связанную с работой, например, названия зданий, талисманы, оборудование или программное обеспечение
    • Содержит шаблоны чисел, такие как aaabbb, qwerty, zyxwvuts или 123321.
    • Содержат обычные слова, написанные задом наперед или с предшествующим/следующим числом (например, terces, secret1 или 1secret)
    • Это некоторые версии "Welcome123", "Password123" или "Changeme123".

Передовые методы работы с паролями

  • Пользователи не должны использовать тот же пароль для учетных записей ПКУР, что и для доступа к другим ресурсам, не относящимся к ПКУР (например, к личной электронной почте, торговым сайтам, социальным сетям).
  • По возможности, пользователи не должны использовать один и тот же пароль для различных целей доступа к ПКУР.
  • Учетные записи пользователей с привилегиями системного уровня (например, PowerSchool) должны иметь уникальный пароль для привилегий системного уровня, если не используется двухфакторная аутентификация.
  • Пользователи никогда не должны записывать или хранить пароли без приемлемого шифрования.
  • Придумывайте пароли, которые легко запомнить. Один из методов - использование фразы, например, "Это может быть одним из способов запомнить" может стать TmB1w2R!

Требования к смене пароля

  • Все пароли системного уровня (например, учетные записи root, admin, application admin) должны меняться не реже одного раза в квартал.
  • Все пароли на уровне пользователя (например, электронной почты, веб-сайта, настольного компьютера) должны меняться не реже одного раза в год. Рекомендуемый интервал - каждые четыре месяца.
  • Команда InfoSec может периодически проводить взлом или угадывание паролей. Если пароль скомпрометирован, пользователь должен немедленно его сменить.
  • Системы, которые могут принудительно менять пароли, должны делать это регулярно.
  • Пароли по умолчанию должны быть изменены во время первоначальной установки и настройки.

Безопасность и управление паролями

  • Служба технической поддержки управляет забытыми паролями и их сбросом. Пользователи должны подтвердить свою личность, прежде чем им будет предоставлена возможность сбросить пароль.
  • Пароли нельзя передавать никому, включая административных помощников, секретарей, менеджеров, коллег или членов семьи.
  • Пароли не должны содержаться в электронных письмах или других электронных сообщениях.
  • Пользователи никогда не должны раскрывать пароли в анкетах или формах безопасности.
  • Пользователи не должны намекать на формат пароля (например, "моя фамилия").
  • Не записывайте пароли и не храните их в офисе или в незашифрованном файле.
  • Не храните пароли в файлах на компьютере или мобильном устройстве без шифрования.
  • Никогда не используйте функцию "Запомнить пароль" в приложениях (например, в веб-браузерах).
  • Если пользователь подозревает, что его пароль был взломан, он должен сообщить об этом своему руководителю и немедленно сменить все пароли.
  • Используйте автовыход в системах, которые это позволяют.

Статус последнего обновления:

Обновлено в январе 2015 года

Соответствующие политики и процедуры

ru_RUРусский