Требования к защите паролем

Автор: | 11.02.2018
Нет комментариев

Требования к защите паролем

Поддержка домашних пользователей

Поддержка в социальных сетях

Поддержка бизнеса

Следите за В2В новостями

Борьба с вирусами

© АО «Лаборатория Касперского», 2018.

Напишите нам, если не нашли нужную информацию на странице, или оставьте отзыв о работе сайта, чтобы мы сделали его лучше.

Спасибо за отзыв!

Лаборатория Касперского ценит каждое мнение.
Ваш отзыв будет принят во внимание

Как мы можем улучшить статью?

Мы не сможем с вами связаться, если вы оставите контактные данные. Для обращения в службу поддержки используйте Личный кабинет.

Законодательная база Российской Федерации

Бесплатная консультация
Федеральное законодательство

  • Главная
  • ПРИКАЗ ЦБ РФ от 03.03.97 N 02-144 «О ВВЕДЕНИИ В ДЕЙСТВИЕ ВРЕМЕННЫХ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ»
  • На момент включения в базу документ опубликован не был

ТРЕБОВАНИЯ К ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ УЧАСТНИКА ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ

1. Участником электронных платежей должна быть организована централизованная служба (группа в составе подразделения безопасности и защиты информации) парольной защиты. Задачей данной службы является организационно — техническое обеспечение процессов генерации, смены и удаления паролей во всех автоматизированных системах и ЭВМ участника электронных платежей, разработка всех необходимых инструкций и контроль за действиями персонала по работе с паролями.

2. Личные пароли должны выбираться пользователями автоматизированной системы самостоятельно, но с учетом следующих требований:

— длина пароля должна быть не менее 8 символов;

— в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

— пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER, SYSOP и т.д.);

— при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;

— личный пароль пользователь не имеет права сообщать никому.

Владельцы паролей должны быть ознакомлены под расписку с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

3. В случае, если формирование личных паролей пользователей осуществляется централизованной службой парольной защиты, ответственность за правильность их формирования и распределение возлагается на указанную службу.

4. Резервная копия пароля каждого сотрудника в отдельном опечатанном конверте должна храниться в сейфе руководителя подразделения. Для опечатывания конвертов с паролями должны применяться либо личные печати владельцев (при наличии), либо печать уполномоченного представителя Управления (отдела) безопасности и защиты информации территориального учреждения Банка России.

5. Полная плановая смена паролей должна проводиться регулярно, не реже одного раза в месяц.

6. Внеплановая смена (удаление) личного пароля любого пользователя автоматизированной системы в случае прекращения его полномочий (увольнение либо переход на другую работу внутри участника электронных платежей) должна производиться немедленно после окончания последнего сеанса работы данного пользователя с системой.

7. Внеплановая полная смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри участника электронных платежей и другие обстоятельства) администраторов информационной безопасности и других сотрудников, которым по роду работы были предоставлены либо полномочия по управлению автоматизированной системой в целом, либо полномочия по управлению подсистемой защиты информации данной автоматизированной системы, а значит, кроме личного пароля, им могут быть известны пароли других пользователей системы.

8. В случае компрометации личного пароля хотя бы одного пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п. 6 или п. 7 настоящих Требований в зависимости от полномочий владельца скомпрометированного пароля.

Начальник ГУ безопасности
и защиты информации
Банка России
А.И.ЛАХТИКОВ

Читайте так же:  Трудовой кодекс порядок оплаты труда

Как создать надежный пароль

Чтобы ваш аккаунт Google был в безопасности, рекомендуем установить надежный пароль. Это поможет вам:

  • защитить свои личные данные;
  • сохранить конфиденциальность своих писем, файлов и других материалов;
  • предотвратить взлом аккаунта.

Обязательные требования к паролю

Пароль должен содержать не менее 8 символов. Это может быть любая комбинация букв, цифр и других символов.

Рекомендуем не указывать пароль, который:

  • используется в других аккаунтах;
  • был установлен в вашем аккаунте ранее.

Рекомендации по созданию надежного пароля

Надежный пароль практически невозможно подобрать. Ниже приводится несколько рекомендаций о том, как создать такой пароль.

Сочетайте разные символы

Используйте одновременно буквы, цифры и специальные символы:

  • Заглавные (прописные) буквы, например A, E, R.
  • Строчные буквы, например a, e, r.
  • Цифры, например 2, 6, 7.
  • Специальные символы, например !, @, &, *.

Следуйте рекомендациям

Выберите слово или фразу и замените некоторые буквы цифрами или символами. В пароле нельзя использовать символы кириллицы, но можно заменить их похожими допустимыми символами или использовать транслит. Примеры:

  • Название праздника Хеллоуин можно записать как >
  • Прощание «чао-какао» можно записать как 4A0-|

Сократите фразу: используйте первые буквы каждого слова. Пример:

  • «Если звезды зажигают, значит, это кому-нибудь нужно?» можно записать как E*zZeKnN?

Чем длиннее пароль, тем он надежнее. Поскольку в паролях допустимы пробелы, можно использовать запоминающиеся фразы или слова из ваших любимых песен, стихов или цитат. Пример:

Не используйте личные данные

Не используйте личную информацию, которая известна другим или которую легко узнать. Примеры:

  • кличка домашнего животного;
  • ваше прозвище;
  • название вашей улицы.

Не используйте общеупотребительные слова

Не используйте простые слова, фразы и наборы символов, которые легко подобрать. Примеры:

  • Очевидные слова и фразы, например password (пароль) или moyparol.
  • Естественные последовательности символов, например abcd или 1234.
  • Последовательности символов на клавиатуре, например qwerty или asdfg.
  • Примеры из этой статьи, например >

Используйте уникальные пароли для своих аккаунтов – особенно для тех, которые особенно важно защитить (например, для электронной почты и интернет-банка).

Использовать везде один и тот же пароль очень опасно. Узнав пароль от одного аккаунта, злоумышленник сможет войти в другие и получить доступ к вашей почте, домашнему адресу и деньгам.

Защита вашего пароля

Создав надежный пароль, позаботьтесь о его безопасности.

Не оставляйте записанный на бумаге пароль там, где его могут увидеть другие люди, например рядом с компьютером.

Если вам сложно запомнить много разных комбинаций, воспользуйтесь диспетчером паролей. Ознакомьтесь с отзывами на них и выберите тот, который вам подходит.

Если вы забыли пароль

В этом случае у вас будет возможность сбросить пароль:

  • если вы его забудете;
  • если кто-то другой его поменяет;
  • если вы не сможете войти в аккаунт по иной причине.

Требование пароля для открытия или изменения книги

Примечание: Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке).

Вы можете предотвратить открытие книги неавторизованными пользователями, а также запретить ее изменение даже тем, у кого есть разрешение на ее открытие.

Внимание: Создав пароль для книги, запишите его и сохраните в надежном месте. В случае потери пароля защищенную им книгу открыть не удастся.

Откройте лист или книгу, которые вы хотите защитить.

На вкладке Рецензирование нажмите кнопку Защитить лист или Защитить книгу.

Введите пароль в поля Пароль и Подтверждение.

Задайте другие нужные параметры защиты и нажмите кнопку ОК.

Нажмите кнопку Сохранить.

Совет: Чтобы удалить пароль, нажмите кнопку Снять защиту листа или Защитить книгу и введите пароль.

Требование пароля для открытия книги

Откройте книгу, которую вы хотите защитить.

На вкладке Рецензирование в разделе Защита нажмите кнопку Пароли.

В поле Пароль для открытия введите пароль и нажмите кнопку ОК.

В диалоговом окне Подтверждение пароля введите пароль еще раз, а затем нажмите кнопку ОК.

Читайте так же:  Детское пособие волжский

Нажмите кнопку Сохранить .

Совет: Чтобы удалить пароль, выделите все содержимое поля Пароль для открытия и нажмите клавишу DELETE.

Требование пароля для изменения книги

Вы можете добавить пароль, чтобы только авторизованные пользователи могли вносить изменения в книгу. Остальные пользователи смогут открыть эту книгу и сохранить ее с другим именем файла.

Примечание: В отличие от защиты элементов книги, которая предотвращает изменение ее структуры и окон, защита паролем на уровне книги позволяет защитить весь файл от нежелательных изменений.

Откройте документ, который нужно защитить.

На вкладке Рецензирование в разделе Защита нажмите кнопку Пароли.

В поле Пароль для изменения введите пароль и нажмите кнопку ОК.

В диалоговом окне Подтверждение пароля введите пароль еще раз, а затем нажмите кнопку ОК.

Нажмите кнопку Сохранить .

Совет: Чтобы удалить пароль, выделите все содержимое поля Пароль для изменения и нажмите клавишу DELETE.

Есть ли какие-то требования к паролю по закону о персональных данных?

В соответствии с требованиями ст.19 ФЗ «О персональных данных» Правительство выпустило Постановление №1119, в котором в зависимости от объема обрабатываемых данных определяется требуемый уровень защиты (цифра от 1 до 4).

ФСТЭК РФ в соответствии с ФЗ и ПП-1119 выпустило 2 приказа : для гос.учреждений — Приказ №17, для коммерческих учреждений — Приказ №21, в которых указывается какие меры защиты должны быть внедрены, и если это принципиально, то их характеристики. Парольная защита указана для всех 4 уровней защищенности, однако, параметры этой парольной защиты не указаны. Таким образом по факту они могут быть выбраны Вами любыми, если Вы в случае проверки докажете невозможности их взлома полным перебором за время его (пароля) жизни (иначе это будет противоречить тому же Приказу №21).

Дальше Вы должны отталкиваться от скорости перебора и вычислять по ней требуемую информационную емкость (энтропию) пароля. Явных требований к набору символов энтропия не задает, но увеличивая наборы, Вы фактически позволяете сделать пароль короче (при той же информационной емкости). И очень советую внедрять в системе таймаут (например, 2 минуты) после 5-10 неверных попыток подбора пароля. Иначе требуемая минимальтная длина у Вас выйдет просто нереальная для запоминания рядовому пользователю.

Политика парольной защиты

Дано:
1)есть аттестованные две информационные системы из N
2) Для доступа к АРМ используется Jacarta + пароль
3) Для доступа к одной из ИС которая лежит в общем доступе используются индивидуальные пароли выдаваемые админом.
Надо:
1) написать политику парольной защиты
2) можно ли не заставлять пользователей менять пароли в ИСПДн? и как это лучше написать
3) как часто надо менять пароли на серверах?
4) можно ли не менять пароли раз в N месяцев при использовании jacarta?

В ИСПДн 4 и 3 уровней защищенности — пишите пароль в jacarta и не парьтесь. Ибо на такие ИСПДн требование АНЗ.5 не распространяется (см. 21 Приказ ФСТЭК). Менять следует только в случае возможной атаки или явной компрометации (ибо ИАФ.4).
В ИСПДн 2 и 1 уровней защищенности — раздельно jacarta+пароль, либо jacarta со встроенным в нее паролем + pin-код доступа к памяти jacarta (что суть тот же пароль, только короче и цифернее). Частота смены произвольная, исходя из внутреннего решения по организации-владельцу ИСПДн. Опять-таки, смена в случаях подозрений на атаку и т.п.
Главное, чтобы все это не противоречило выводам разработанной для этой ИСПДн Модели угроз и нарушителей.

ЗЫ И, кстати, что такое «ИС которая лежит в общем доступе»?

Журнал учета сетевых паролей и паролей доступа к ИСПДн

Зачем Вам журнал?
Вам нужна грамотная парольная политика
Настройте политику с требованиями к паролю и пусть пользователь сам его меняет в соответствии с требованиями (по требованиям законодательства не менее 6 знаков), от себя = чувствителен к регистру запрет повтора 4 последних символов подряд, обязательные символы в пароле )+_!):

Журнал — это угроза раскрытия пароля.
Или Вы будите отводить на каждого пользователя новую стр. в журнале?

Т.е. грубо говоря, я могу включить в этот журнал те поля, которые посчитаю нужными? и никаких ограничений со стороны законодательства не будет? ведь это касается вопроса доступа к ИСПДн..

Читайте так же:  Гражданские дела по вновь открывшимся обстоятельствам пересматривают

Наличие такого журнала требуется!

>>>>Наличие такого журнала требуется!

)))) Повеселили Вы меня!
Ссылку на НПД в студию!

Повторюсь журнал — вещь не логичная для учета паролей.
Совет:
доменная регистрация, хорошая парольная политика, ПРД и будит Вам счастье

> Повторюсь журнал — вещь не логичная для учета паролей.

«Я думаю, — сказал Ипполит Матвеевич, — что торг здесь неуместен!» (с)

Сказано же: «Требуется!». А вы: «Доменная регистрация, правила разграничения доступа. «

> никаких ограничений со стороны законодательства не будет?

Не будет. Осталось только понять на фиг вам это нужно?

>Наличие такого журнала требуется!

сказано же: гос.органы до такого бреда не додумались.
такие вещи придумывают или парашютисты (откуда у них знания?) или идёт проверка персонала на сообразительность.

Автор: Jud | 29969
> Т.е. грубо говоря, я могу включить в этот журнал те поля, которые посчитаю нужными? и никаких ограничений со стороны законодательства не будет? ведь это касается вопроса доступа к ИСПДн..

включайте всё что угодно — кроме паролей.

Хранить сами пароли в едином журнале нельзя, уже исходя из чистой логики.

Пароли, я так допускаю, хранить нужно, но владелец пароля должен привести его на носителе (бумажном, электронном), носитель запечатать в конверт, конверт отдать на сохранение в сейфе отдела ИБ.

Вместо, журнала, я так полагаю, будет более правильным оформление Разрешительной системы доступа с приложением в виде Матрицы доступа. По данному документу всегда можно понять кто и на какие ресурсы имеет определенные права. Имеет человек доступ к серверу, значит — у него есть и пароль от администрирования сервера (точнее пароль не всегда может быть, ситуации разные, можно администрировать сервак и в присутствии сисадмина).

Автор: Jud | 30026 А вот с журналом учета посещений в сервеную комнату, аналогичная ситуация?

Автор: Jud | 30026 никаких требований со стороны законодательства?

Конкретно по «серверной» есть в отраслевых НМД.
В прочих рассматриваются «помещения».
точка зрения меняется в связи с конкретным статусом помещения либо оборудования в нём.
Если в серверной есть ключи шифрования.

но есть несколько нюансов, которые действуют всегда.
1. если серверная есть в перечне помещений ограниченного доступа, то доступ в помещение регулируется инструкцией и списком доступа.
2. Если доступ в серверную управляется СКУД по карточке, то журнал доступа ведётся в логе СКУД.
3. если помещение записано в журнале охраны то приём-сдача помещения под охрану фиксируется. или приём-выдача ключей.

Если помещение аттестовано.
Если в помещении находится железо ИСПДн.

журнал такой пусть будет.

Уважаемые — все что достаточно логично для ГТ для КТ не всегда подходит.
Господа из ФСТЭК просто переписали в СТР-К норму из грифованных документов — а Вы теперь спорите.

В ГТ предполагается именно в журнале записывать пароль а выдавать его под роспись на отд. грифованном листке в виде выписки.
У всех есть сейфы и все там и хранится.

Для КТ это не комильфо.
Ну нет сейфов у людей
Нет формы 7 и проч и проч.

У Вас же пароли все хранятся у админа а не у секретчика и чего вы спорите?
И раздает Вам их админ и у себя вы копию должны держать только в голове а не на бумажке приклеенной к монитору или к обратной стороне клавы.

Такое впечатление что схоластика рулит.
ну включите же мозги на секундочку — этого хватит.

Большое спасибо за советы!

Значит можно создать матрицу доступа к ИСПДн, указать определенные группы что-то вроде администратор безопасности, операторы, имеющие право записи в ИСПДн, операторы, имеющие право чтения, разграничить им доступ и завести для каждой группы свой пароль, пароли хранить в сейфе..т.е. получается, что сам факт наличия пароля можно определить из матриы доступа, а сами пароли в сейфе, так я Вас понимаю? а как фиксировать такую информацию как дата выдачи, дата смены пароля..для этого всё-таки требуется журнал? если использовать журнал, но отмечать там сам факт выдачи пароля, а пароль хранить, как Вы говорите в сейфе?