Шаблон документа СМИБ "Политика использования паролей"

Для тех кому интересно публикую проект Политики СМИБ (Системы менеджмента информационной безопасности) по использованию паролей.

ПОЛИТИКА
использования паролей
СМИБ ХХХ-1E1

согласно требований ISO/IEC 27001:2005

ПРЕДИСЛОВИЕ

	Подпись /ФИО/	Дата:
1.РАЗРАБОТАНО:	_________________/Звягин И.М /	___.__.2012
2.ПРОВЕРЕНО:		___.__.2012
3.СОГЛАСОВАНО:	_________________/_____________ /	___.__.2012
Согласовывают руководители тех подразделений которые являются поставщиками и клиентами данного процесса (см. карту процессов)	_________________/_____________ /	___.__.2012
Название должности	_________________/_____________ /	___.__.2012
Название должности	_________________/_____________ /	___.__.2012
Название должности	_________________/____________ /	___.__.2012
4.УТВЕРЖДЕНО:
Генеральный директор	_________________/---- -.-./
Утвержден и введен в действие приказом директора  от ___.__.2012 г. №___/___
5.СРОКИ ДЕЙСТВИЯ:
Дата вступления в силу	от ___.__.2012
Действует до:	от ___.__.2012 / бессрочный
Дата последнего пересмотра	от ___.__.2012
6.РЕКВИЗИТЫ ДОКУМЕНТА:
Номер	СМИБ ХХХ-1E1
Статус
Версия
Заменяет	Введен впервые
Страниц всего
Область действия
7.МЕСТО ХРАНЕНИЯ ДОКУМЕНТА:
в электронном виде	\\Server\общая\ISMS
в печатном виде	Подписанный экземпляр хранится в комнате №
	ВНИМАНИЕ! Перед использованием бумажной копии данного документа убедитесь в том, что она соответствует последней редакции расположенной на сервере

Общие положения

Для ограничения доступа к информационным системам и критичным данным используется парольная защита. Настоящая Политика определяет правила использования паролей и обязательна для исполнения для всех сотрудников ------- (далее Компании). Пользователи должны руководствоваться рекомендациями по защите своего пароля на этапе его выбора и последующего использования.

При работе с информационными системами, содержащими конфиденциальную информацию, имя пользователя и пароль должны быть отличны от имени пользователя и пароля в при входе общую компьютерную сеть Компании. Пароль должен быть не менее пяти символов.

Сотруднику запрещается:

Сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким, если работа выполняется дома.

Пользоваться именами пользователя и чужими паролями.

Хранить пароли, записанные на бумаге, в легко доступном месте.

Использовать один и тот же пароль для доступа к различным информационным системам.

Сотрудник обязан:

В случае подозрения на то, что пароль стал кому-либо известен, поменять пароль и сообщить о факте компрометации Представителю руоковдства по безопасности ИТ-сервисов и сотруднику Информационно-технического департамента.

Немедленно информировать Представителя руоковдства по безопасности ИТ-сервисов и сотрудника Информационно-технического департамента в случае получения от кого-либо просьбы сообщить пароль.

Менять пароль, каждые 90 дней.

Создавать пароль, соответствующий следующим требованиям:

• Минимальная длина пароля должна быть 8 символов;
• Пароль должен содержать символы в различных регистрах, а также цифры и специальные символы (!@#$%^&*()-_+=~[]{}|\:;'"<>,.?/).

Сотруднику рекомендуется выбирать пароль с помощью следующих двух простейших алгоритмов:

Создание пароля 1.

1.    Выбрать фразу, которую легко запомнить. Например, «мороз и солнце, день чудесный, ещё ты дремлешь друг прелестный».

2.    Выбрать первые буквы из каждого слова «мисдчетддп».

3.    Набрать полученную последовательность, переключившись на английскую раскладку клавиатуры: «vbclxtnllg».

4.    Выбрать номер символа, который будет записываться в верхнем регистре и после которого будет специальный символ. Например, это будет второй символ, а в качестве специального символа выбран “#”. Получаем, «vB#clxtnllg».

Создание пароля 2 (для регистрации на разных сайтах или в разных программных системах).

1.    Выбрать динамический ключ, который легко запомнить. Например, «потАп22».

2.    Выбрать из названия сайта или программы первые или последние 3-5 букв которые будут модификатором динамического ключа. Например, для регистрации на сайте www.xxxzxc.ru выбираем последние 3 буквы «zxc».

3.    Набирать динамический ключ надо переключившись на английскую раскладку клавиатуры: «gjnFg22».

4.    В начале или в конце динамического ключа вставляем модификатор. Например, в начале, а чтобы еще больше усложнить пароль читаем модификатор справа-налево. Получаем в итоге «cxzgjnFg22».

5.    Или если это представить более наглядно и на примере других символов:

www.12345.ru → 345 → 543

                                                               543 + qwerty → 543qwerty

йцукен           →        qwerty

Компания оставляет за собой право:

·         Осуществлять периодическую проверку стойкости паролей пользователей, используемых сотрудниками для доступа к информационным системам.

·         Принимать меры дисциплинарного характера к сотрудникам, нарушающим положения настоящей Политики.

·         Все действия пользователя, работающего под паролем протоколируются. Журнал операций храниться не менее шести месяцев.

Лист ознакомления

NN п.п.	ФИО, должность	Личная подпись	Дата