Для забезпечення конфіденційності, цілісності та доступності інформаційних активів Товариство використовує поряд з іншими засобами парольний захист. Парольний захист вимагає дотримання ряду правил, викладених в цьому Положенні.
Положення визначає вимоги Товариства до пральний захисту інформаційних систем.
Положення поширюється на всіх користувачів та інформаційні системи (далі - ІС) Товариства, що використовують парольний захист.
Аутентифікація - встановлення того, що користувач є саме тим, ким він себе оголосив шляхом перевірки пред'явленого пароля.
Ініціалізаційний пароль - пароль, який видається користувачеві для початкового входу в ІС.
Інформаційний актив - дані, інформація, відомості, оброблювані і збережені в Товаристві з допомогою ІС.
ІС - в даному випадку будь-яка інформаційна система, для роботи з якою необхідна аутентифікація користувача.
Компрометація пароля - популярність пароля або принципу його формування стороннім особам.
Суспільство - Виконавча дирекція та філії ВАТ «Організація».
Пароль - секретний набір символів, який використовується для аутентифікації користувача.
Користувачі - адміністратори ІС і працівники Товариства або третьої сторони, яким надано доступ до ІС Товариства, а також корпоративний доступ до ресурсів мережі Інтернет.
СТП - служба технічної підтримки, підрозділи ІТ.
УІС - Управління інформаційних систем ВАТ «Організація».
3.2. Для доступу в ІС користувачеві видається ініціалізації пароль, який він зобов'язаний змінити при першому вході в ІС.
3.3. Користувач зобов'язаний використовувати різні паролі для кожного облікового запису.
3.5. Користувач зобов'язаний міняти паролі для доступу до корпоративних ІС не рідше ніж раз в 180 календарних днів.
3.6. При виборі пароля користувач зобов'язаний дотримуватись таких вимог:
3.6.1.Мінімальная довжина пароля користувача становить не менше 8-ми символів.
3.6.2.Пароль повинен складатися з комбінації цифр, букв латинського алфавіту верхнього і нижнього регістра.
3.6.3.Новий пароль не повинен повторювати п'ять використаних раніше паролів.
3.7. Користувач зобов'язаний застосовувати адекватні заходи по захисту своїх паролів:
3.7.1. Запам'ятовувати свої паролі або зберігати їх таким чином, щоб вони були недоступні іншим особам.
3.7.2. Чи не передавати свої паролі нікому ні в якому разі, включаючи фахівців ІТ, свого керівника, колег, родичів або знайомих.
3.7.3. При використанні пароля (наприклад, його введенні) вжити необхідних заходів, що виключають можливість його компрометації (наприклад, виключити можливість підглядання вводиться пароля).
3.8. Користувачеві заборонено застосовувати паролі, які він використовував при аутентифікації в ІС Товариства, для доступу в які не належать Суспільству ІС (наприклад, на веб-сайтах мережі Інтернет і ін.).
3.9. У разі компрометації або підозри на компрометацію пароля, користувач зобов'язаний інформувати про це СТП і негайно змінити пароль.
3.10. Паролі вбудованих адміністративних облікових записів (наприклад, «root» в ОС UNIX, «Administrator» в MS Windows AD і т.п.) основних ІС, а також пароль локального адміністратора робочих станцій філії повинні зберігатися в захищеному місці в опечатаному конверті в неспаленому сейфі . Доступ до цих паролів можливий тільки з санкції керівника ІТ-підрозділу філії, або Виконавчої дирекції.
3.11. Облікові записи співробітників, що мають членство в групах адміністраторів, повинні мати пароль, відмінний від усіх інших паролів даного користувача.
3.12. Фахівцям ІТ заборонено зберігати паролі користувачів в будь-якому вигляді, наприклад, у відкритому або у вигляді хеш-функцій, а також розміщувати паролі на ресурсах загального доступу, або пересилати їх по електронній пошті, за винятком пересилання користувачеві Ініціалізувати пароля.
3.13. При використанні SNMP community strings не повинні бути значеннями за замовчуванням і повинні відрізнятися від паролів, які використовуються для аутентифікації в інтерактивному режимі.
3.14. Зміна паролів адміністративних облікових записів, що використовуються на серверах і маршрутизуючого обладнання, а також пароля локального адміністратора робочих станцій філії обов'язково проводиться в наступних випадках:
3.14.1. Компрометація, або підозра на компрометацію паролів.
3.14.2. Звільнення з Товариства осіб, яким в зв'язку з виробничою необхідністю були відомі паролі.
3.14.3. Розірвання договору з підрядною організацією, співробітникам якої видавалися паролі для виконання робіт на обладнанні Товариства.
3.15. При настанні випадків, описаних в п. 3.14, створюється новий пароль і опечатується новий конверт.
3.16. ІС Товариства повинні мати механізми перевірки паролів на відповідність вимогам положення.
3.17. За порушення вимог цього Положення на працівника може бути накладено дисциплінарне чи адміністративне стягнення.
4.1.1. Виконують вимоги положення і несуть відповідальність за її порушення.
4.1.2. Інформують СТП про всі стали їм відомі випадки порушення цього положення.
4.2.1. Приймає кількість звернень від користувачів з питань пральний захисту (наприклад, блокування облікових записів, компрометація пароля, порушення положення та ін.), Веде їх облік.
4.2.2. Консультує користувачів з питань використання парольного захисту.
4.2.3. Видає користувачам ініціалізацій паролі для входу в ІС.
4.2.4. Відповідає за безпечне зберігання паролів вбудованих адміністративних облікових записів.
4.2.5. Виробляє розблокування облікових записів користувачів.
Всі виключення з Положення повинні бути узгоджені в письмовому вигляді з УІС.