Парольная защита. Инструкция по организации парольной защиты

Общие положения

1.1 Настоящая инструкция устанавливает порядок и правила генерации, использования паролей в информационных системах организации.

1.2 Требования настоящей инструкции распространяются на всех сотрудников организации.

1.3 Бесконтрольность в определении и использовании паролей может повлечь риск несанкционированного доступа к информации организации, повлечь мошеннические и другие действия информационных системах, которые могут нанести материальный вред и ущерб репутации организации.

Требования к паролям

2.1 Пароли не должны основываться на каком-либо одном слове, выданном идентификаторе, имени, кличке, паспортных данных, номерах страховок и т.д.

2.2 Пароли не должны основываться на типовых шаблонах и идущих подряд на клавиатуре или в алфавите символов, например, таких, как: qwerty, 1234567, abcdefgh и т.д.

2.3 Пароли должны содержать символы как минимум из трех следующих групп:

  • Строчные латинские буквы: abcd…xyz;
  • Прописные латинские буквы: ABCD…XYZ;
  • Цифры: 123…90;
  • Специальные символы: !%() _ и т.д.

2.4 Требования к длине пароля:

  • Для обычных пользователей ‑ не менее 8 символов;
  • Для администраторов (локальногодоменного) ‑ не менее 15 символов;
  • Для сервисных идентификаторов, разделяемых ключей (shared keys) ‑ не менее 14 символов;
  • Для SNMP Community Strings — не менее 10 символов.

2.5 Периодичность смены пароля:

  • Административные – каждые 60 дней;
  • Пользовательские– каждые 90 дней;
  • Сервисные – не реже двух раз в год;
  • Shared keys SNMP Community Strings — не реже одного раза в год.

2.6 Пароли не должны храниться и передаваться в незашифрованном виде по публичным сетям (локальная вычислительная сеть, интернет, электронная почта).

2.7 . В ходе работы не должны использоваться встроенные идентификаторы. Для них должны быть назначены пароли, отличные от установленных производителем. К ним предъявляются требования, аналогичные требованиям к сервисным паролям.

2.8 Пароли нельзя записывать на бумагу, в память телефона и т.д. Нельзя сообщать, передавать кому-либо пароль.

2.9 Хеши паролей должны проверяться в ходе внутреннего аудита администратором информационной безопасности не реже двух раз в год с помощью типовых атак на подбор.

Возможна также проверка соответствия пароля требованиям данной инструкции в присутствии пользователя: пользователь называет свой пароль, а проверяющий осуществляет ввод пароля и его проверку. После такой проверки требуется обязательная и немедленная смена пароля.

2.10 Пароли сервисных идентификаторов должны входить в процедуру управления паролями УА, включающую хранение их в защищенном месте, разделение секрета, периодическую смену (1 раз в год).

Требования к настройкам безопасности информационных систем

3.1 Учетная запись должна блокироваться после 5 неверных попыток доступа не менее, чем на 15 минут.

3.2 Запрещается использовать функции «Запомнить пароль» в любом программном обеспечении.

Требования к паролям сервисных учетных записей

4.1 Пароли для сервисных учетных записей должны формироваться ответственным за сервисную учетную запись и администратором информационной безопасности.

Предлагаем ознакомиться  Foxconn WinFast 6100M2MA-RS2H — системная плата на базе чипсета NVIDIA GeForce 6100 (Socket AM2)

4.2 Длина каждой половины пароля должна быть не меньше 7 символов, сложность пароля указана в п.2.3. Перед запечатыванием конверта, обязательно проверить правильность смены пароля в информационной системе, делая соответствующую запись в журнале.

4.3 Пароль должен меняться не реже двух раз в год, или немедленно в случае увольнения или смены полномочий одного или двух ответственных за формирование пароля.

4.4 Каждая половина пароля сохраняется в отдельном конверте, исключающем возможность увидеть пароль через конверт, например, путем просвечивания конверта ярким светом. Конверты хранятся в сейфе начальника УА.

4.5 Каждая генерациясменавскрытие пароля или конверта должна обязательно формироваться соответствующей записью в журнале.

4.6 Администратор информационной безопасности, должен ежемесячно проверять наличие конвертов, целостность.

4.7 Вскрытие конвертов может произвести:

  • ответственный за информационную систему;
  • администратор информационной безопасности;
  • Начальник УА

4.8 Конверты вскрываются одним лицом, с последующей регистрацией в журнале, при этом обязательно информирование администратора информационной безопасности с использованием почтовой рассылки.

4.9 В случае вскрытияиспользования конвертов, по окончании выполнения работ необходимо произвести работы по созданию нового пароля с п.4.1

4.10 Администраторы оказывают помощь и содействия администратору информационной безопасности при проведении аудитов, управление сервисными, административными паролями, shared keys и SNMP Community Strings, включая генерацию паролей, их изменение и хранение в безопасном месте, а также настройку информационных систем для соблюдения данных требований.

4.11 Администратор по информационной безопасности несёт осуществляет аудит требований данной политики, разрабатывает процедур управления идентификаторами.

4.12 Пользователи информационных ресурсов обязаны соблюдать требования данной Инструкции при выборе пароля и работе с ним.

Ответственность

5.1 Виновные в нарушении условий настоящей Инструкции несут ответственность в соответствии с законодательством Российской Федерации, трудовым договором, должностной инструкцией.

Заключительные положения

6.1 Общий текущий контроль исполнения настоящей инструкции осуществляет АИБ.

6.2 АИБ поддерживает настоящую инструкцию в актуальном состоянии.

6.3 Изменения и дополнения в настоящую инструкцию утверждаются директором организации.

6.4 Инструкция вступает в силу с момента утверждения директором организации.

Бесконтактные смарт-карты и usb-ключи

В корпус брелка USB-ключа встраиваются антенна и микросхема для создания бесконтактного интерфейса. Это позволит организовать управление доступом в помещение и к компьютеру, используя один идентификатор. Данная схема использования идентификатора может исключить ситуацию, когда сотрудник, покидая рабочее место, оставляет USB-ключ в разъеме компьютера, что позволит работать под его идентификатором. В случае же, когда нельзя выйти из помещения, не используя бесконтактный идентификатор, данной ситуации удастся избежать.

На сегодня наиболее распространены два идентификатора подобного типа:

  • RfiKey – компания Rainbow Technologies;
  • eToken PRO RM – компания Aladdin Software Security R.D.

Изделие RfiKey поддерживает интерфейс USB 1.1/2.0 и функционирует со считывателями HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) и российской компании Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader).

eToken RM – USB-ключи и смарт-карты eToken PRO, дополненные пассивными RFID-метками.

Биоэлектронные системы

Как правило, для защиты компьютерных систем от несанкционированного доступа применяется комбинация из двух систем – биометрической и контактной на базе смарт-карт или USB-ключей.

Предлагаем ознакомиться  UEFI BIOS: как установить Windows 10 с загрузочной флешки на GPT и MBR диск, настройка биоса

Наиболее часто в качестве биометрических систем применяются системы распознавания отпечатков пальцев. При совпадении отпечатка с шаблоном разрешается доступ.

К недостаткам такого способа идентификации можно отнести возможность использования муляжа отпечатка.

Интеграция etoken c rfid-метками

RFID-технология (Radio Frequency Identification, радиочастотная идентификация) является наиболее популярной на сегодня технологией бесконтактной идентификации. Радиочастотное распознавание осуществляется с помощью закрепленных за объектом так называемых RFID-меток, несущих идентификационную и другую информацию.

Из семейства USB-ключей eToken RFID-меткой может быть дополнен только eToken PRO/32K. При этом надо учитывать ограничения, обусловленные размерами ключа: RFID-метка должна быть не более 1,2 см в диаметре. Такие размеры имеют метки, работающие с частотой 13.56 МГц, например, производства Ангстрем или HID.

Комбинированные системы

Внедрение комбинированных систем существенно увеличивает количество идентификационных признаков и тем самым повышает безопасность.

 
Таблица 3.

Основные функции комбинированных систем

Функция

Комбинированные системы

На базе бесконтактных смарт-карт и USB-ключей

На базе гибридных смарт-карт

Биоэлектронные системы

Идентификация и аутентификация компьютеров

Есть

Есть

Есть

Блокировка работы компьютеров и разблокирование при предъявлении персонального идентификатора

Есть

Есть

Идентификация и аутентификация сотрудников при их доступе в здание, помещение (из него)

Есть

Есть

Хранение конфиденциальной информации (ключей шифрования, паролей, сертификатов и т.д.)

Есть

Есть

Есть

Визуальная идентификация

Есть

Есть

 
На сегодня существуют комбинированные системы следующих типов:

  • системы на базе бесконтактных смарт-карт и USB-ключей;
  • системы на базе гибридных смарт-карт;
  • биоэлектронные системы.

Особенности электронных систем идентификации и аутентификации

В состав электронных систем идентификации и аутентификации входят контактные и бесконтактные смарт-карты и USB-token. Что такое USB-ключ, мы рассмотрим на примере eToken от компании Aladdin Software.

eToken – персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронными цифровыми подписями (ЭЦП). eToken может быть выполнен в виде USB-ключа или стандартной смарт-карты.

eToken поддерживает работу и интегрируется со всеми основными системами и приложениями, использующими технологии смарт-карт или PKI (Public Key Infrastructure).

Основное назначение:

  • строгая двухфакторная аутентификация пользователей при доступе к защищенным ресурсам (компьютерам, сетям, приложениям);
  • безопасное хранение закрытых ключей цифровых сертификатов, криптографических ключей, профилей пользователей, настроек приложений и пр. в энергонезависимой памяти ключа;
  • аппаратное выполнение криптографических операций в доверенной среде (генерация ключей шифрования, симметричное и асимметричное шифрование, вычисление хэш-функции, формирование ЭЦП).

eToken как средство аутентификации поддерживается большинством современных операционных систем, бизнес-приложений и продуктов по информационной безопасности.

Возможности применения:

  • строгая аутентификация пользователей при доступе к серверам, базам данных, разделам Web-сайтов;
  • безопасное хранение секретной информации: паролей, ключей шифрования, закрытых ключей цифровых сертификатов;
  • защита электронной почты (цифровая подпись и шифрование, доступ);
  • системы электронной торговли, «клиент-банк», «домашний банк»;
  • защита компьютеров;
  • защита сетей, VPN;
  • клиент-банк, home-банк.

eToken обеспечивает:

  • строгую аутентификацию пользователей за счет использования криптографических методов;
  • безопасное хранение ключей шифрования и ЭЦП, а также закрытых ключей цифровых сертификатов для доступа к защищенным корпоративным сетям и информационным ресурсам;
  • мобильность пользователя и возможность безопасной работы с конфиденциальными данными в недоверенной среде (например, на чужом компьютере) за счет того, что ключи шифрования и ЭЦП генерируются ключом eToken аппаратно и не могут быть перехвачены;
  • безопасное использование – воспользоваться ключом eToken может только его владелец, знающий PIN-код ключа;
  • реализацию как западных, так и российских стандартов на шифрование и ЭЦП, сертифицированных ФАПСИ (ФСБ);
  • удобство работы – ключ выполнен в виде брелка со световой индикацией режимов работы и напрямую подключается к USB-портам, которыми сейчас оснащены 100% компьютеров, не требует специальных считывателей, блоков питания, проводов и т.п.;
  • использование одного ключа для решения множества различных задач – входа в компьютер, входа в сеть, защиты канала, шифрования информации, ЭЦП, безопасного доступа к защищенным разделам Web-сайтов, информационных порталов и т.п.

Бесконтактные смарт-карты разделяются на идентификаторы Proximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе большинства устройств на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации.

Предлагаем ознакомиться  Обзор AMD FX-8150: от Bulldozer к Zambezi и FX

Таблица 1.

Радиочастотные идентификаторы

Характеристика

Proximity

Смарт-карты

ISO/IEC 14443

ISO/IEC 15693

Частота радиоканала

125 кГц

13,56 МГц

13,56 МГц

Дистанция чтения

До 1 м

До 10 см

До1 м

Встроенные типы чипов

Микросхема памяти, микросхема с жесткой логикой

Микросхема памяти, микросхема с жесткой логикой, процессор

Микросхема памяти, микросхема с жесткой логикой

Функции памяти

Только чтение

Чтение-запись

Чтение-запись

Емкость памяти

8-256 байт

64 байт – 64 кбайт

256 байт – 2 кбайт

Алгоритмы шифрования и аутентификации

Нет

Технология MIRAGE, DES, 3DES, AES, RSA, ECC

DES, 3DES

Механизм антиколлизии

Опционально

Есть

Есть

 
Основными компонентами бесконтактных устройств являются чип и антенна. Идентификаторы могут быть как активными (с батареями), так и пассивными (без источника питания). Идентификаторы имеют уникальные 32/64 разрядные серийные номера.

Системы идентификации на базе Proximity криптографически не защищены, за исключением специальных заказных систем.

USB-ключи работают с USB-портом компьютера. Изготавливаются в виде брелков. Каждый ключ имеет прошиваемый 32/64 разрядный серийный номер.

 Таблица 2.

Характеристики USB-ключей

Изделие

Емкость памяти, кБ

Разрядность серийного номера

Алгоритмы шифрования

iKey 20xx

8/32

64

DES (ECB и CBC), DESX, 3DES, RC2, RC5, MD5, RSA-1024/2048

eToken R2

16/32/64

32

DESX (ключ 120 бит), MD5

eToken Pro

16/32

32

RSA/1024, DES, 3DES, SHA-1

ePass 1000

8/32

64

MD5, MD5-HMAC

ePass 2000

16/32

64

RSA, DES, 3DES, DSA, MD5, SHA-1

ruToken

8/16/32/64/128

32

ГОСТ 28147-89, RSA, DES, 3DES, RC2, RC4, MD4, MD5, SHA-1

uaToken

8/16/32/64/128

32

ГОСТ 28147-89

USB-ключи, представленные на рынке:

  • eToken R2, eToken Pro – компания Aladdin Knowledge Systems;
  • iKey10xx, iKey20xx,iKey 3000 – компания Rainbow Technologies;
  • ePass 1000 ePass 2000 – фирма Feitian Technologies;
  • ruToken – разработка компании «Актив» и фирмы «АНКАД»;
  • uaToken – компания ООО «Технотрейд».

USB-ключи – это преемники смарт-карт, в силу этого структуры USB-ключей и смарт-карт идентичны.

Оцените статью
Техничка
Adblock detector