Brand_name Arnis_logo
Центр информационной безопасности
главная > статьи > защита информации > политика ПЗ

Политика парольной защиты

Политика парольной защиты, как и любая политика безопасности — это документ "верхнего" уровня, разработка которого определяется степенью детализации основного документа предприятия в сфере информационной безопасности - политики или концепции информационной безопасности. Разделение и детализация обязанностей персонала требуют и разделения ответственности между сотрудниками даже одного подразделения, включая сами службы безопасности. Бюрократизацию процесса разработки и внедрения такого рода документов можно существенно упростить, обратившись к рекомендациям соответствующих нормативных и отраслевых документов и стандартов. К примеру ГОСТ Р ИСО/МЭК 17799-2005 "Практические правила управления информационной безопасностью". Раздел 9 "Контроль доступа" вполне применим как основа для разработки политики парольной защиты как части задачи организации контроля доступа пользователей к информационным ресурсам.

Содержание документа "верхнего" уровня определяет организационную часть вопроса и в нем должно быть указано:

Политика парольной защиты— это организационно-правовой и технический документ одновременно и при его составлении надо опираться на принцип разумной достаточности. Понятно, что в компании с единственным системным администратором увлечение разработкой нормативной документацией приведет к неоправданным затратам на разработку документов, а их педантичное исполнение будет бессмысленно поглощать бесценное время исполнителей. Поэтому в общем случае вполне достаточно весь комплекс необходимых процедур ограничить минимальным набором правил и зафиксировать их в одном документе типа "инструкция по парольной защите".

Тщательность при подготовке документа не гарантирует его долговечности и требует регулярного пересмотра и приведения в соответствие с изменившимися условиями и требования бизнес-процессов и совершенствовании технической базы, что, к примеру, можно наблюдать в требовании версий зарубежного стандарта ISO 17799, где необходимая длина (разрядность) пароля увеличивается с ростом производительности распространенных вычислительных систем, или, в некотором приближении, тактовой частой процессоров и временем, необходимым для его раскрытия при доступной производительности, из соображений, что временные затраты на достижение цели должны быть больше, чем время жизни и ценности интересующего ресурса, либо срок жизни пароля должен быть короче времени, необходимого для его взлома.

 

© Центр Сетевой Безопасности Арнис, 2008

о компании | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница