Категория: IT-Инфраструктура > Внутренние нормативные документы | |||
---|---|---|---|
ТемаПАРОЛЬНАЯ ПОЛИТИКА УМБ | |||
Содержание1.1 Настоящая Парольная политика ТОО «Университета международного бизнеса имени Кенжегали Сагадиева» (далее – Политика) разработана в соответствии с требованиями законодательства Республики Казахстан, Устава, внутренних нормативных и распорядительных документов ТОО «Университета международного бизнеса имени Кенжегали Сагадиева» (далее – Университета или УМБ). 1.2 Настоящая Политика является внутренним нормативным документом, определяющим требования обеспечения информационной безопасности Университета. 1.3 Настоящая Политика разработана в целях развития информационной безопасности Университета, в соответствии с международными стандартами и устанавливает единый порядок организационно-технического обеспечения процессов назначения, использования, смены и прекращения действия паролей для Информационных систем Университета. 1.4 Политика регулирует процессы идентификации и аутентификации пользователя при работе с информационными системами Университета. 1.5 Политика базируется на приоритетных направлениях по развитию Университета. Реализация требований и положений Политики направлена на обеспечение безопасности и непрерывности бизнес-процессов Университета. 1.6 Требования Политики распространяются на всех работников, преподавателей и студентов Университета. 1.7 Основные понятия, термины и сокращения, используемые в Политике: 1) Лог-файлы сервера — специальные файлы, в которых протоколируются определённые действия пользователя или программы на сервере; 2) ИС – информационные системы; 3) Пользователь – любой сотрудник, преподаватель и студент Университета
2. Требования безопасности и реализация парольной политики 2.1 В целях соблюдения требований информационной безопасности Университета, а также соблюдения принципа персональной ответственности за свои действия, каждому пользователю, присваивается персональное уникальное имя с паролем (далее по тексту - учетная запись). 2.2 Общие требования к содержимому паролей, их длине и остальным параметрам должны устанавливаться групповыми политиками домена (Active Directory), в частности: 1) пароль должен быть уникальным для каждого пользователя, тщательно продуманным и не быть простым словом или аббревиатурой, которое легко может быть подобрано; 2) пароль не должен быть коротким по количеству символов – длина пароля должна составлять не менее 8 (восьми) символов; 3) пароль должен содержать в себе буквы (заглавные и строчные - предпочтительно на латинице, цифры и специальные символы (%, $, @, &, *, #, ^ и т.п.); 4) пароль не должен повторяться – история паролей каждого пользователя должна сохраняться на сервере каждой ИС – не менее 5 (пять) паролей. При попытке ввода пароля, хранящегося в истории, должно всплывать информационное окно с предупреждающей надписью о повторяющемся пароле; 5) срок действия пароля должен быть ограничен - не более 90 (девяносто) календарных дней с предусмотренной функцией всплывающего ежедневно окна за 5 (пять) календарных дней до требуемой даты замены, которое содержит в себе сообщение предупреждающего/напоминающего характера о необходимости замены пароля; 6) рабочее место пользователя, не производящего никаких действий на компьютере, должно автоматически блокироваться операционной системой по истечении 15 (пятнадцать) минут; 7) количество неудачных попыток входа в операционную систему должно ограничиваться 5 (пять) попытками. В случае если количество неудачных попыток превысит указанный параметр, данная учетная запись должна блокироваться на 20 (двадцать) минут. Все случаи неверно введенных паролей, попытки несанкционированного подключения к системе и манипулирования учетными записями должны фиксироваться в системном журнале безопасности ИС с целью последующего анализа работником информационной безопасности ДИТ. 8) параметры сброса счетчика неудачных попыток аутентификации в домене должно быть установлено значение равным 20 (двадцать) минутам. 2.3 К ИС, администрируемым работниками ДИТ и ДЦТ, пароли к которым устанавливаются/изменяются вручную администраторами ИС, предъявляются следующие требования: 1) пароль должен быть уникальным для каждого администратора, тщательно продуманным и не быть простым словом или аббревиатурой, которое легко может быть подобрано; 2) пароль не должен быть коротким по количеству символов – длина пароля должна составлять не менее 10 (десять) символов; 3) пароль должен содержать в себе буквы (заглавные и строчные - предпочтительно на латинице, цифры и специальные символы (%, $, @, &, *, #, ^ и т.п.); 4) пароль не должен повторяться - история паролей должна сохраняться на сервере каждой ИС не менее 10 (десяти) паролей; 5) срок действия пароля должен быть ограничен – замена паролей должна проводиться не реже 1 раз в полгода, с передачей паролей в запечатанных конвертах на хранение директору ДИТ согласно пункту 2.7 настоящей Политики; 6) при увольнении или переводе на другую работу (не связанную с администрированием закрепленных ИС) администратором ИС должна быть произведена внеочередная смена паролей на ИС, администрируемых уволенным/переведенным работником, с передачей паролей в запечатанных конвертах на хранение Директору ДИТ согласно пункту 2.7 настоящей Политики; 7) рабочее место администратора ИС, не производящего никаких действий на компьютере, должно автоматически блокироваться операционной системой по истечении 7 (семь) минут 8) количество неудачных попыток входа в операционную систему должно ограничиваться 5 (пять) попытками. Все случаи неверно введенных паролей, попытки несанкционированного подключения к системе и манипулирования учетными записями должны фиксироваться в системном журнале безопасности ИС с целью последующего анализа. 2.4 Пароли для доступа к ресурсам ИС по умолчанию формируются пользователями и администраторами ИС самостоятельно, если иное не оговорено в отдельных приказах, распоряжениях, требованиях сторонних программных продуктов. 2.5 При формировании паролей работникам запрещается: 1) использовать в качестве пароля легко вычисляемые сочетания (собственные имена, фамилии, имена детей, родственников, клички домашних животных, даты рождения, номер автомобиля, паспорта, телефона и т.д.) вне зависимости от регистра и раскладки клавиатуры (в т.ч. ввод на латинице и/или кириллице), которые возможно подобрать на основании имеющейся информации о пользователе; 2) использовать в качестве пароля набор символов, расположенных на клавиатуре рядом (подряд «qwerty@123», в обратном порядке «321@ytrewq» и т.д.); 3) вставлять пароли в тексты программ, записывать их в файлы, или подручные материалы (календари, стикеры и т.д.), доступные для общего доступа посторонних лиц, (например: обратной стороне клавиатуры, монитор и т.д.); 4) программно сохранять пароли, предлагаемые сервисами различного программного обеспечения с целью избегания его ввода каждый раз, когда он необходим (использовать «автозаполнение пароля»): a. в программах, устанавливающих Интернет-соединения; b. установка «флажка» «Сохранить пароль» (Save password) в соединениях удаленного доступа к сети и т.д.; 5) использовать «пустые» пароли (Enter). 2.6 Передача паролей третьим лицам (коллегам) запрещена. 2.7 Пароли администраторов ИС с именами учетных записей должны храниться в запечатанных конвертах в специальном сейфе ДИТ. 2.8 Работники Университета в обязательном порядке должны блокировать учетную запись, при условии даже одноминутного отлучения от рабочего места.
3. Общие положения по парольной защите 3.1 Ввод паролей осуществляется с учётом регистра (верхний-нижний) и с учётом текущей раскладки клавиатуры (EN-RU и др.). Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами и/или посторонними техническими средствами (например: мобильный телефон с функцией видеозаписи и т.д.). 3.2 С целью недопущения умышленных или запрещенных действий пользователями сети, их активность автоматически записывается в лог-файлах сервера ИС и отслеживается администратором ДИТ без предварительного уведомления пользователя. В случае определения нежелательных действий пользователя, данные пользователи немедленно отключаются от локальной сети, и администратором ДИТ инициируется служебное расследование по стандартным процедурам Университета. К нежелательным действиям относятся: 1) попытка или несанкционированный доступ к ресурсам, которые не входят 2) совместное использование пользователями идентификационных имен и паролей 3) использование чужих идентификационных имен и паролей (в случае если на данные действия нет специального разрешения); 4) захват или использование чужих IP адресов; 5) попытки взлома компьютеров в локальной сети; 6) другие действия, связанные с деструктивными особенностями приложений или аппаратных средств. 3.4 В случае обнаружения пользователем каких-либо подозрительных признаков при работе систем (появление нестандартных подсказок ввода имени пользователя и пароля, изменение или удаление файлов, изменение конфигурации компьютера, произвольные действия клавиатуры/мышки) пользователи должны немедленно сообщить об этом, посредством телефонного звонка и/или продублировать запрос письменно по почте директору ДИТ. Затем, после исследования причин, по распоряжению директора ДИТ - изменить свой пароль, согласно требованиям настоящей Политики. 3.5 В случаях нарушения требований настоящей Политики работники Университета обязаны предоставить доступ к ресурсам своего персонального компьютера, файлам и документам системному администратору ДИТ и директору ДИТ по их требованию для проведения расследования нарушения. 3.6 Все случаи неверно введенных паролей, попытки несанкционированного подключения к системе и манипулирования учетными записями автоматически фиксируются в системных журналах безопасности ИС с целью последующего анализа для выявления предметов нарушений. Доступ к этим журналам имеют системные администраторы ДИТ (профильно: администраторы сетевой инфраструктуры, домена, базы данных). Директор ДИТ, совместно с системным администратором ДИТ, ежемесячно проводит процедуры по контролю информации в журналах безопасности на предмет выявления скрытых атак, подборов паролей, изменений настроек безопасности и учетных записей пользователей. Проверки производятся согласно требованиям внутренних нормативных документов.
4.1 Контроль над реализацией данной Политики, совершенствованием системы администрирования паролей и действиями администраторов ДИТ и директора ДИТ возлагается на Проректора по Цифровизации. 4.2 Организационное и техническое обеспечение процессов использования, смены и прекращения действия паролей возлагается на Директора ДИТ и системного администратора ДИТ. 4.3 Системные администраторы ДИТ обеспечивают реализацию групповых политик смены паролей, блокировку доступа к информационным ресурсам по истечении срока действия паролей, а также процедуру приема-передачи/уничтожения собственных. 4.4 Все пользователи Университета должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за несоблюдение правил данной политики, а также за разглашение парольной информации. 4.5 Ответственность за разглашение полученного пароля и действий, произведенных на персональном компьютере, возлагается на пользователя, получившего этот пароль и руководителя подразделения. 4.6 Данная Политика вступает в силу с момента ее утверждения и подписания Ученым советом УМБ. | |||
Документы | |||
Файл | Вид документа | Дата | |
ПАРОЛЬНАЯ ПОЛИТИКА У… | 21-02-2023 15:28 | ||
Автор: Fomichev Sergey Создан 21-02-2023 15:28 Последнее обновление 21-02-2023 15:29 | 367 просмотров Эта статья содержится в ЧаВо (FAQ) |