– хранить секретную информацию аутентификации в тайне, исключая возможность его разглашения даже друзьям;

– не записывать секретную информацию аутентификации (например, на бумаге, ручном устройстве, в виде файла), за исключением того случая, когда используется безопасное место и надежный метод хранения (например, сейф паролей);

– менять секретную информацию аутентификации при малейшем признаке компрометации;

– если в качестве секретной информации аутентификации используется пароль, выбрать качественный пароль с минимально достаточной длиной, который:

• легко запомнить;

• не содержит того, что можно легко угадать, или какую-либо персональную информацию (например, имена, номера телефонов, даты рождения и т.п.);

• неуязвим для словарных атак (т.е. не содержит слов, включенных в словари);

• не содержит подряд идущих одинаковых символов, только цифровых или только буквенных;

• если временный, сразу сменить при первом входе в систему;

– не делиться индивидуальной секретной информацией аутентификации пользователя;

– надлежащим образом защищать и хранить пароли, используемые в качестве секретной информации аутентификации в процедурах автоматического входа;

– не использовать одну и ту же секретную информацию аутентификации для бизнес и не бизнес-целей.

Применение технологии «единого входа» (Single Sign-On, SSO) или других инструментов управления секретной информацией аутентификации снижает ее объем и тем самым может повысить эффективность ее защиты. Однако эти инструменты могут усилить влияние от разглашения секретной информации аутентификации.

5.4. Управление доступом к системе и приложениям

Цель: Предотвратить несанкционированный доступ к системе и приложениям.

Управление доступом к системе определяют следующие составляющие:

– процедуры безопасного входа;

– система управления паролями;

Управление доступом к приложениям обеспечивают следующие мероприятия:

– ограничение доступа к информации;

– использование системного ПО;

– управление доступом к исходным кодам программ.

Процедуры безопасного входа

Меры и средства

Доступ к системе и приложениям должен контролироваться с помощью процедуры безопасного входа в соответствии с правилами разграничения доступа.

Рекомендация по реализации

Должно быть выбрано соответствующее средство аутентификации для подтверждения заявленной личности пользователя.

Если требуется строгая аутентификация и проверка личности, вместо паролей должны использоваться такие методы аутентификации, как средства криптографии, биометрии, смарт-карты или токены.

Процедура входа в систему или приложение должна минимизировать возможность несанкционированного доступа. Процедура входа должна разглашать минимум информации о системе и приложении, чтобы избежать какого-либо содействия неавторизованному пользователю.

Правильная процедура входа должна:

– не отображать наименований системы и приложений, пока процесс входа не будет успешно завершен;

– отображать общее предупреждение о том, что доступ к компьютеру могут получить только авторизованные пользователи;

– не предоставлять сообщений-подсказок в течение процедуры начала сеанса, которые могли бы помочь неавторизованному пользователю;

– подтверждать информацию начала сеанса только по завершении ввода всех исходных данных, а в случае ошибочного ввода не показывать, какая часть данных является правильной или неправильной;

– защищать от перебора попыток входа;

– регистрировать успешные и неуспешные попытки входа;

– повысить событие безопасности в случае выявления потенциальных попыток и реального нарушения мер защиты входа;

– отображать следующую информацию после завершения успешного входа:

• дату и время предыдущего успешного входа;

• детали любых неуспешных попыток входа, начиная с последнего успешного входа;

– не отображать введенный пароль;

– не передавать пароли открытым текстом по сети;