1. Загальні положення
Всі користувачі (співробітники компанії, дилери, постачальники, підрядники або відвідувачі), що мають доступ до інформаційних систем компанії, відповідальні за прийняття відповідних (як описано нижче) заходів по створенню і захисту пароля.
Метою політики є введення стандартів по створенню стійких паролів, їх захист і термінів дії.
3 Область дії
Політика поширюється на всіх користувачів інформаційних систем компанії, які мають облікові записи або призначені відповідальними за такі. А також на співробітників зберігають конфіденційну інформацію компанії.
4 Політика
4.1 Рекомендації
4.1.1 Створення
Характеристики слабкого пароля:
- містить менше 8 символів;
- слово зі словника;
- повсякденно використовується слово, наприклад, імена або прізвища друзів, колег, акторів або казкових персонажів, клички тварин;
- комп'ютерний термін, команда, найменування компаній, web сайтів, апаратного або програмного забезпечення;
- варіації найменування компанії або торгової марки;
- регулярні послідовності символів і цифр, наприклад, 111222, abcde, qwerty і т.п.
- що-небудь з перерахованого вище в зворотному написанні;
- що-небудь з перерахованого вище з додаванням цифр на початку або наприкінці.
Характеристики стійкого пароля:
- містить великі та малі літери;
- містить цифри і символи;
- більше 8 символів довжиною;
- не є словом ні на одній з мов, діалектів, жаргонів, сленгу;
- не ґрунтується на персональної інформації;
- не збережено в паперовій або електронній формі.
Пароль повинен добре запам'ятовуватися. Один із способів - створення пароля на основі назви пісні або такою, що запам'ятовується фрази. Наприклад, "Це елементарно Ватсон!", "2Елмнт_В!".
4.1.2 Захист паролів
Заборонено повідомляти пароль кому б то не було, включаючи адміністративний персонал і секретарів. Всі паролі є конфіденційною інформацією компанії.
Список заборонених дій з паролями:
- не вказуйте пароль в повідомленнях електронної пошти;
- не повідомляйте пароль вашому керівництву (виняток робиться для первинного пароля);
- не повідомляйте принципи створення пароля (наприклад, "на основі мого прізвища");
- не повідомляйте пароль членів сім'ї та родичів;
- не передавайте пароль колегам на час вашої відпустки.
На комп'ютері повинна бути включена захищена паролем заставка, активується через 10 хвилин бездіяльності користувача. Вхід користувача в систему не повинен виконуватися автоматично. Залишаючи робоче місце користувач зобов'язаний заблокувати комп'ютер.
Для системних облікових записів облік неправильних спроб введення пароля може бути відключений.
5 Відповідальність
Всі співробітники компанії несуть відповідальність за порушення цієї політики. Служба інформаційної безпеки виявляє і передає до відділу кадрів всі факти порушення цієї політики для вжиття відповідних заходів.