"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ. ГОСТ Р ИСО/МЭК 17799-2005"(утв. Приказом Ростехрегулирования от 29.12.2005 N 447-ст)
9.3. Обязанности пользователей
Цель: предотвращение неавторизованного доступа пользователей к информации.
Взаимодействие авторизованных пользователей является важным аспектом эффективности безопасности.
Необходимо, чтобы пользователи были осведомлены о своих обязанностях по использованию эффективных мероприятий по управлению доступом, в частности, в отношении паролей и безопасности оборудования, с которым они работают.
9.3.1. Использование паролей
Пользователи должны соблюдать определенные правила обеспечения безопасности при выборе и использовании паролей.
С помощью паролей обеспечивается подтверждение идентификатора пользователя и, следовательно, получение доступа к средствам обработки информации или сервисам. Все пользователи должны быть осведомлены о необходимости:
а) сохранения конфиденциальности паролей;
б) запрещения записи паролей на бумаге, если только не обеспечено безопасное их хранение;
в) изменения паролей всякий раз, при наличии любого признака возможной компрометации системы или пароля;
г) выбора качественных паролей с минимальной длиной в шесть знаков, которые:
1) легко запомнить;
2) не подвержены легкому угадыванию или вычислению с использованием персональной информации, связанной с владельцем пароля, например, имен, номеров телефонов, дат рождения и т.д.;
3) не содержат последовательных идентичных символов и не состоят из полностью числовых или полностью буквенных групп;
д) изменения паролей через равные интервалы времени или после определенного числа доступов и исключения повторного или цикличного использования старых паролей (пароли для привилегированных учетных записей следует менять чаще, чем обычные пароли);
е) изменения временных паролей при первой регистрации в системе;
ж) запрещения включения паролей в автоматизированный процесс регистрации, например, с использованием хранимых макрокоманд или функциональных клавиш;
з) исключения коллективного использования индивидуальных паролей.
Если пользователи нуждаются в доступе к многочисленным услугам или бизнес-приложениям и вынуждены использовать многочисленные пароли, можно порекомендовать возможность использования одного качественного пароля (9.3.1 "г") для всех сервисов, обеспечивающих разумный уровень защиты хранимого пароля.
9.3.2. Оборудование, оставленное пользователями без присмотра
Пользователи должны обеспечивать соответствующую защиту оборудования, оставленного без присмотра. Оборудование, установленное в рабочих зонах, например рабочие или файловые станции, требует специальной защиты от неавторизованного доступа в случае оставления их без присмотра на длительный период. Всем пользователям и подрядчикам необходимо знать требования безопасности и методы защиты оставленного без присмотра оборудования также, как и свои обязанности по обеспечению такой защиты. Пользователям рекомендуется:
- завершать активные сеансы по окончании работы, если отсутствует механизм блокировки, например, хранитель экрана, защищенный паролем;
- отключаться от мэйнфрейма, когда сеанс закончен (то есть не только выключать PC или терминал);
- защищать PC или терминалы от неавторизованного использования посредством замка или эквивалентного средства контроля, например, защита доступа с помощью пароля, когда оборудование не используется.