Интеграция IdM с другими системами ИБ
Узнать большеКорпоративная парольная политика – это часть системы информационной безопасности. Она представляет собой набор правил, касающихся назначения надежных паролей и их корректного использования сотрудниками. Ее наличие в компании обеспечивает повышение показателей защищенности информационных систем и их соответствие корпоративным стандартам, а также требованиям руководящих документов (отраслевых, национальных, международных) в области информационной безопасности.
Как и где настраиваются парольные политики
Есть 2 варианта настройки. Первый – настройка парольной политики непосредственно в защищаемых корпоративных информационных системах (далее – ИС). Такая возможность, как правило, реализована в современных продуктах. Но чем больше информационных систем используется в компании, тем больше на это требуется времени.
Второй вариант – централизованная настройка и управление парольной политикой через сторонние решения. Это можно делать, например, с помощью систем класса IdM/IGA, к которым относится наш продукт Solar inRights. Такое программное обеспечение позволяет:
-
Настраивать единые политики для всех корпоративных информационных систем либо для каждой в отдельности.
-
Автоматизировать трансляцию установленных параметров в информационные системы, подключенные к IdM-решению.
-
Устанавливать и менять пароли для доступа к информационным системам в любой момент времени из единой точки. Вводить либо свою комбинацию символов, удовлетворяющую заданным требованиям, либо воспользоваться встроенным генератором паролей.
-
Быстро реагировать на изменения, отраженные в руководящих документах, инциденты, связанные с паролями, их использованием, а также на другие ситуации.
Весомый плюс использования IdM и других внешних инструментов – возможность настройки и управления парольной политикой в информационных системах, в которых изначально не предусмотрено подобного функционала.
Что включает в себя настройка парольной политики
Настройке подлежит довольно широкий набор параметров. Например, в нашей IdM-системе Solar inRights можно использовать максимально широкий набор параметров, удовлетворяющих самым требовательным стандартам и политикам ИБ. При формировании их перечня были учтены успешные практики и рекомендации NIST, ФСБ России, а также других авторитетных организаций/источников.
Блокировка пользователей после неудачного ввода пароля
При настройке корпоративной парольной политики следует предусмотреть возможность блокировки пользователей после неудачного ввода пароля. Это позволит избежать несанкционированного доступа к учетным записям в защищаемых учетных системах с помощью технологий подбора парольных фраз. Рекомендуется настраивать:
-
Количество неудачных попыток, после которых происходит блокировка.
-
Время, в течение которого совершены эти попытки.
- Время, на которое блокируется пользователь после неудачного/неверного ввода данных для авторизации.
Сроки действия первичного и постоянного пароля
Первичный используется для первого входа в учетную запись в ИС, и должен быть изменён в отведённое время, с целью обеспечения дополнительной защиты информации и снижения риска несанкционированного использования данных.
Постоянные пароли не должны быть таковыми в буквальном смысле. Рекомендуется периодически их менять. Периодичность устанавливается компанией при разработке парольной политики самостоятельно либо в соответствии с требованиями и рекомендациями отраслевых нормативных документов или указаний от вышестоящих инстанций. Средние сроки смены паролей в компаниях, практикующих этот подход:
-
3 месяца – для пользовательских,
-
2 месяца – для административных,
-
6 месяцев – для сервисных учетных записей.
Если вы используете IdM для управления политиками пользователей в компании, отслеживать эту периодичность будет легко – система генерирует оповещения о необходимости смены паролей.
Длина пароля и наборы обязательных символов
Эти 2 параметра в совокупности влияют на надежность и устойчивость комбинации к подбору или взлому. NIST и ФСБ РФ рекомендуют использовать сочетания длиной не менее 8 символов.
Что касается обязательных символов, в одной фразе рекомендуется использовать не менее четырех наборов. Как правило, это:
-
буквы нижнего регистра,
-
буквы верхнего регистра,
-
цифры,
-
специальные символы.
Еще один важный параметр, влияющий на безопасность, – количество уникальных символов. Чем меньше повторяющихся знаков, тем надежнее сочетание к взлому или подбору. Оптимальным для комбинации из 8 символов считается наличие как минимум 5 уникальных, неповторяющихся.
Также при настройке парольной политики важно предусмотреть запрет на использование определенных сочетаний символов (например, user, admin, контекстно-зависимые слова, фразы и т. д.). Так как часто пользователи ленятся придумывать надежный пароль, они используют популярные, легко запоминающиеся фразы. В Solar inRights неприемлемость такого подхода реализована с помощью функционала стоп-листа, назначение паролей из которого невозможно.
Еще несколько важных параметров
При настройке парольной политики мы рекомендуем обращать внимание на следующие моменты. Во-первых, на совпадение пароля с именем пользователя или учетной записи. Во-вторых, на количество символов, которые могут повторяться. Целесообразно задать их максимальное число, учитывая, что чем оно выше, тем легче злоумышленникам взломать или подобрать пароль. В-третьих, очень важно определить количество изменяемых символов, используемых при создании новых паролей. Если в организации предусмотрена регулярная смена данных для авторизации, то чем меньше символов в новой и старой комбинации совпадают, тем надежнее пароль и выше его устойчивость к взлому или подбору.
Хорошая практика, усиливающая парольную политику в компании – использование двухфакторной аутентификации. Если в целевой ИС не предусмотрено такого функционала, добавить его можно с помощью сторонних решений через API. 2FA чаще всего реализуется через авторизацию по SMS, по звонку или через специализированные приложения.
