Различия

Показаны различия между двумя версиями страницы.

--- public:politika_informacionnoj_bezopasnosti_dlja_personala_ooo_shehriks [2022/08/04 07:42] – создано vitaly.p
+++ public:politika_informacionnoj_bezopasnosti_dlja_personala_ooo_shehriks [2022/08/05 09:05] (текущий) – [2. Парольная политика] vitaly.p
@@ Строка 3: / Строка 3: @@
 ====1. Этика====
 Пользователям информационной системы запрещается:
-  * ●	сообщать свои имена учетных записей и пароли друзьям или родственникам;
+  * сообщать свои имена учетных записей и пароли друзьям или родственникам;
-  * ●	пытаться подобрать пароли, обрабатывая файлы, хранящие пароли, программами-подборщиками;
+  * пытаться подобрать пароли, обрабатывая файлы, хранящие пароли, программами-подборщиками;
-  * ●	запускать сетевые сканеры;
+  * запускать сетевые сканеры;
-  * ●	взламывать чужие учетные записи;
+  * взламывать чужие учетные записи;
-  * ●	прерывать работу систем;
+  * прерывать работу систем;
-  * ●	использовать системные ресурсы и электронную почту не по назначению;
+  * использовать системные ресурсы и электронную почту не по назначению;
-  * ●	открывать файлы других пользователей за исключением случаев, когда владелец файла попросил об этом;
+  * открывать файлы других пользователей за исключением случаев, когда владелец файла попросил об этом;
-  * ●	скачивать файлы из сети Интернет;
+  * скачивать файлы из сети Интернет;
-  * ●	копировать нелицензионное программное обеспечение (далее — ПО);
+  * копировать нелицензионное программное обеспечение (далее — ПО);
-  * ●	позволять другим пользователям копировать нелицензионное ПО.
+  * позволять другим пользователям копировать нелицензионное ПО.
 ====2. Парольная политика====
-Комбинация имени учетной записи пользователя и пароля определяет пользователя в системе. Применение парольной политики является основным барьером для неавторизованного доступа в используемые системы.
+Комбинация имени учетной записи пользователя и пароля определяет пользователя в системе. Применение парольной политики является основным барьером для неавторизованного доступа в используемые системы.\\
-Содержимое:
+.1. Содержимое:
-  * ●	комбинация цифр, прописных и строчных букв, знаков препинания, например: 1Kf$oe#, L0i*n#51;
+  * комбинация цифр, прописных и строчных букв, знаков препинания, например: 1Kf$oe#, L0i*n#51;
-  * ●	легкое для запоминания (не нужно записывать);
+  * легкое для запоминания (не нужно записывать);
-  * ●	удобное для быстрого ввода (сложно для восприятия подглядывающего).
+  * удобное для быстрого ввода (сложно для восприятия подглядывающего).
 Примеры:
-  * ●	выберите несколько строк поэмы, песни и т. д. и используйте только первые буквы слов;
+  * выберите несколько строк поэмы, песни и т. д. и используйте только первые буквы слов;
-  * ●	соедините два небольших слова необычным символом.
+  * соедините два небольших слова необычным символом.
 Примеры плохих паролей:
-  * ●	имя супруга, родителя, коллеги, друга, домашнего животного, названия городов, месяцев, дней;
+  * имя супруга, родителя, коллеги, друга, домашнего животного, названия городов, месяцев, дней;
-  * ●	номер машины/мотоцикла, номер телефона;
+  * номер машины/мотоцикла, номер телефона;
-  * ●	простые слова из любого языка;
+  * простые слова из любого языка;
-  * ●	серия одинаковых цифр/букв;
+  * серия одинаковых цифр/букв;
-  * ●	простые клавиатурные последовательности (qwerty, qwerty123, asdf, password);
+  * простые клавиатурные последовательности (qwerty, qwerty123, asdf, password);
-  * ●	все вышеперечисленное, введенное в обратной последовательности или с цифрой до или после.
+  * все вышеперечисленное, введенное в обратной последовательности или с цифрой до или после.
-Правила:
-  * ●	не записывайте пароли, не пересылайте их по электронной почте;
+.2. Правила:
-  * ●	пароли, устанавливаемые по умолчанию не должны использоваться;
+  * не записывайте пароли, не пересылайте их по электронной почте;
-  * ●	не передавайте свой пароль посторонним;
+  * пароли, устанавливаемые по умолчанию не должны использоваться;
-  * ●	если пароли скомпрометированы, немедленно меняйте их;
+  * не передавайте свой пароль посторонним;
-  * ●	избегайте распространения административных паролей. Используйте группы или утилиты типа 'su';
+  * если пароли скомпрометированы, немедленно меняйте их;
-  * ●	если возможна синхронизация паролей пользователей между платформами, используйте ее. Пользователь, скорее всего, будет использовать более стойкий пароль, если он будет единственным;
+  * избегайте распространения административных паролей. Используйте группы или утилиты типа 'su';
-  * ●	Вы обязаны подробным образом проинформировать пользователей об опасности взлома и примерах его осуществления. Хорошо информированный пользователь - залог выбора стойкого пароля;
+  * если возможна синхронизация паролей пользователей между платформами, используйте ее. Пользователь, скорее всего, будет использовать более стойкий пароль, если он будет единственным;
-  * ●	все пароли по умолчанию должны быть заменены перед использованием системы;
+  * Вы обязаны подробным образом проинформировать пользователей об опасности взлома и примерах его осуществления. Хорошо информированный пользователь - залог выбора стойкого пароля;
-  * ●	пароли должны храниться в зашифрованном виде. Шифрование должно быть стойким к брутфорс атакам, проводимым в течение нескольких недель на мощном компьютере;
+  * все пароли по умолчанию должны быть заменены перед использованием системы;
-  * ●	пароли не должны отображаться во время ввода, отображения условных символов на каждый знак пароля следует избегать;
+  * пароли должны храниться в зашифрованном виде. Шифрование должно быть стойким к брутфорс атакам, проводимым в течение нескольких недель на мощном компьютере;
-  * ●	пользователь не должен иметь возможности узнать зашифрованные пароли других пользователей (из файла, содержащего пароли);
+  * пароли не должны отображаться во время ввода, отображения условных символов на каждый знак пароля следует избегать;
-  * ●	следует определить минимальный и максимальный срок действия пароля, а также список изменений. Например:
+  * пользователь не должен иметь возможности узнать зашифрованные пароли других пользователей (из файла, содержащего пароли);
-  * ○	минимальный срок действия - 3 дня, максимальный срок действия = 6 месяцев, минимальная длина - 6 символов;
+  * следует определить минимальный и максимальный срок действия пароля, а также список изменений. Например: ○	минимальный срок действия - 3 дня, максимальный срок действия = 6 месяцев, минимальная длина - 6 символов;
-  * ○	история паролей: использование пяти предыдущих паролей должно быть запрещено.
+  * история паролей: использование пяти предыдущих паролей должно быть запрещено.
-  * ●	следует определить допустимое содержимое паролей. Система должна проверять пароли на соответствие этим правилам прежде, чем принять их. (см. Примеры плохих паролей);
+  * следует определить допустимое содержимое паролей. Система должна проверять пароли на соответствие этим правилам прежде, чем принять их. (см. Примеры плохих паролей);
-  * ●	пользователь не должен иметь возможность менять пароли других пользователей, но администратор должен иметь возможность сбросить пароль пользователя, чтобы тот мог задать новый;
+  * пользователь не должен иметь возможность менять пароли других пользователей, но администратор должен иметь возможность сбросить пароль пользователя, чтобы тот мог задать новый;
-  * ●	когда требуется отдельный логин для системы (например, для СУБД Oracle под Линукс), пароль должен быть заблокирован во избежание интерактивного входа в систему;
+  * когда требуется отдельный логин для системы (например, для СУБД Oracle под Линукс), пароль должен быть заблокирован во избежание интерактивного входа в систему;
-  * ●	пользователь должен изменить пароль при первом входе в систему;
+  * пользователь должен изменить пароль при первом входе в систему;
-  * ●	используйте строгие идентификаторы доступа (например, смарт-токены, смарт-карты, биометрические системы и т. д.);
+  * используйте строгие идентификаторы доступа (например, смарт-токены, смарт-карты, биометрические системы и т. д.);
-  * ●	если технически возможно, осуществляйте автоматическую генерацию паролей (в помощь пользователям);
+  * если технически возможно, осуществляйте автоматическую генерацию паролей (в помощь пользователям);
-  * ●	программа проверки паролей должна регулярно (раз в неделю) проверять пароли на устойчивость (соответствуют ли пароли требованиям или нет).
+  * программа проверки паролей должна регулярно (раз в неделю) проверять пароли на устойчивость (соответствуют ли пароли требованиям или нет).
 ====3. Сети====
-. Конфиденциальная информация:
+.1. Конфиденциальная информация:
-  * ●	конфиденциальные данные, передаваемые через общедоступные сети, должны быть зашифрованы.
+  * конфиденциальные данные, передаваемые через общедоступные сети, должны быть зашифрованы.
-. Подключение к сетям:
+.2. Подключение к сетям:
-  * ●	пользователю запрещается подключать свой компьютер к любой сети кроме локальной;
+  * пользователю запрещается подключать свой компьютер к любой сети кроме локальной;
-  * ●	доступ к внешним (публичным и частным) сетям должен осуществляться через межсетевой экран. Все межсетевые экраны должны инсталлироваться и обслуживаться службой безопасности.
+  * доступ к внешним (публичным и частным) сетям должен осуществляться через межсетевой экран. Все межсетевые экраны должны инсталлироваться и обслуживаться службой безопасности.
-. Электронная почта:
+.3. Электронная почта:
-  * ●	пользователь обязан знать, что обычные почтовые системы часто не гарантируют защиту информации или точное определение отправителя. В большинстве систем системный администратор может читать всю почту. Персональные данные системы 3  Категории могут рассылаться внутри системы без шифрования. 2 Категория должна шифроваться;
+  * пользователь обязан знать, что обычные почтовые системы часто не гарантируют защиту информации или точное определение отправителя. В большинстве систем системный администратор может читать всю почту. Персональные данные системы 3  Категории могут рассылаться внутри системы без шифрования. 2 Категория должна шифроваться;
-  * ●	персональные данные 1 Категории нельзя передавать по электронной почте;
+  * персональные данные 1 Категории нельзя передавать по электронной почте;
-  * ●	только персональные данные 4 Категории и специфическая информация необходимая внешним участникам проекта может быть отправлена за пределы компании;
+  * только персональные данные 4 Категории и специфическая информация необходимая внешним участникам проекта может быть отправлена за пределы компании;
-  * ●	пользователь обязан знать риски открытия документов с макросами, файлы в формате ПостСкрипт и установки программ, полученных по электронной почте (есть вероятность того, что после открытия таких документов, персональный компьютер может быть заражен компьютерными вирусами, вследствие чего произойдет кража персональных данных с компьютера).
+  * пользователь обязан знать риски открытия документов с макросами, файлы в формате ПостСкрипт и установки программ, полученных по электронной почте (есть вероятность того, что после открытия таких документов, персональный компьютер может быть заражен компьютерными вирусами, вследствие чего произойдет кража персональных данных с компьютера).
-  *
 ====4. Интернет====
 Из-за недостатков в структуре и методах контроля интернет является источником следующих рисков:
-  * ●	компрометация конфиденциальной информации;
+  * компрометация конфиденциальной информации;
-  * ●	атака хакеров на корпоративные ресурсы;
+  * атака хакеров на корпоративные ресурсы;
-  * ●	изменение или удаление информации;
+  * изменение или удаление информации;
-  * ●	отказ систем из-за высокой нагрузки.
+  * отказ систем из-за высокой нагрузки.
   * Если пользователям предоставлен доступ в интернет, они должны быть осведомлены о рисках и ознакомлены с политикой использования интернета. Следовательно, необходима особая политика доступа к интернет, которая должна быть широко известна и используема:
-  * ●	весь исходящий трафик в интернет должен идти через утвержденные компанией шлюзы, которые сертифицированы на соответствие с корпоративной политикой безопасности;
+  * весь исходящий трафик в интернет должен идти через утвержденные компанией шлюзы, которые сертифицированы на соответствие с корпоративной политикой безопасности;
-  * ●	кому предоставлен стандартный доступ в интернет (например, администраторы);
+  * кому предоставлен стандартный доступ в интернет (например, администраторы);
-  * ●	кому доступна внешняя электронная почта (например, всем);
+  * кому доступна внешняя электронная почта (например, всем);
-  * ●	случаи запрета доступа;
+  * случаи запрета доступа;
-  * ●	разрешенное клиентское ПО для работы в интернет (например, стандартное ПО организации);
+  * разрешенное клиентское ПО для работы в интернет (например, стандартное ПО организации);
-  * ●	недопустимое использование сети Интернет (например, порнографические материалы, загрузка опасного или нелицензионного ПО, случаи использования в сугубо личных целях и т. д.);
+  * недопустимое использование сети Интернет (например, порнографические материалы, загрузка опасного или нелицензионного ПО, случаи использования в сугубо личных целях и т. д.);
-  * ●	условия предоставление доступа к интернету (например, утвержденная политика использования межсетевого экрана, публикация информации, классифицированной как общедоступная).
+  * условия предоставление доступа к интернету (например, утвержденная политика использования межсетевого экрана, публикация информации, классифицированной как общедоступная).
 ====5. Ноутбуки и портативные компьютеры====
 Портативные компьютеры позволяют персоналу быть более продуктивным будучи «в отъезде». Они позволяют осуществлять доступ к информации. С точки зрения безопасности они могут создать риск компрометации информации, быть украдены и стать точкой неавторизованного доступа в корпоративную сеть. Количество мобильных компьютеров растет, поэтому необходима специальная политика по использованию портативных компьютеров:
-  * ●	пользователь обязан знать про  риски при использовании ноутбуков;
+  * пользователь обязан знать про  риски при использовании ноутбуков;
-  * ●	парольная защита в таких офисных приложениях как MS Word не является защитой от грамотных злоумышленников;
+  * парольная защита в таких офисных приложениях как MS Word не является защитой от грамотных злоумышленников;
-  * ●	съемный жесткий диск легко позволяет защититься если убрать его в карман. С другой стороны, это упрощает кражу информации;
+  * съемный жесткий диск легко позволяет защититься если убрать его в карман. С другой стороны, это упрощает кражу информации;
-  * ●	подготовка и инсталляция ПО должна производиться профессиональным ИТ-персоналом. В штате необходимы сотрудники, которые могут дать рекомендацию по выбору модели ноутбука;
+  * подготовка и инсталляция ПО должна производиться профессиональным ИТ-персоналом. В штате необходимы сотрудники, которые могут дать рекомендацию по выбору модели ноутбука;
-  * ●	по возможности должна быть установлена программа шифрования файлов, обеспечивающую стойкое шифрование и простую в применении. Программа шифрования диска является альтернативой, но она может потребовать специальных знаний для администрирования и повлиять на производительность, а также вызвать проблемы совместимости;
+  * по возможности должна быть установлена программа шифрования файлов, обеспечивающую стойкое шифрование и простую в применении. Программа шифрования диска является альтернативой, но она может потребовать специальных знаний для администрирования и повлиять на производительность, а также вызвать проблемы совместимости;
-  * ●	используйте операционную систему, в которой обычный пользователь не имеет полного доступа к системе;
+  * используйте операционную систему, в которой обычный пользователь не имеет полного доступа к системе;
-  * ●	пользователи несут ответственность за ноутбуки за пределами офисного здания;
+  * пользователи несут ответственность за ноутбуки за пределами офисного здания;
-  * ●	системы автоматической блокировки экрана и пароли при загрузке должны использоваться везде, где это технически возможно. Загрузочные пароли защищают от любопытного, но не грамотного злоумышленника;
+  * системы автоматической блокировки экрана и пароли при загрузке должны использоваться везде, где это технически возможно. Загрузочные пароли защищают от любопытного, но не грамотного злоумышленника;
-  * ●	следует установить активный антивирус всем сотрудникам;
+  * следует установить активный антивирус всем сотрудникам;
-  * ●	в общественном транспорте сотрудник должен держать ноутбук при себе;
+  * в общественном транспорте сотрудник должен держать ноутбук при себе;
-  * ●	персональные данные 3 Категории  запрещается переносить в ноутбуках если они не зашифрованы;
+  * персональные данные 3 Категории  запрещается переносить в ноутбуках если они не зашифрованы;
-  * ●	выключайте компьютер, как только отходите от рабочего места, то есть, когда он не используется;
+  * выключайте компьютер, как только отходите от рабочего места, то есть, когда он не используется;
-  * ●	запрещается хранение пароля для доступа в корпоративную локальную сеть в ноутбуке;
+  * запрещается хранение пароля для доступа в корпоративную локальную сеть в ноутбуке;
-  * ●	запрещается передача данных категории 3 по небезопасным сетям (таким как интернет, публичный Wi-Fi) без шифрования;
+  * запрещается передача данных категории 3 по небезопасным сетям (таким как интернет, публичный Wi-Fi) без шифрования;
-  * ●	доступ в корпоративную локальную сеть через «dial-up» должен быть определен в политике доступа к сети;
+  * доступ в корпоративную локальную сеть через «dial-up» должен быть определен в политике доступа к сети;
-  * ●	выключайте модемы, когда они не используются.
+  * выключайте модемы, когда они не используются.
-  * За несоблюдение вышеперечисленных правил, нарушитель несет предусмотренную законом ответственность, в том числе возмещение материального вреда
-  *
+За несоблюдение вышеперечисленных правил, нарушитель несет предусмотренную законом ответственность, в том числе возмещение материального вреда