Проблемы с паролями обычно возникают там, где их меньше всего ждут. Пользователи ставят что попало, временные пароли живут месяцами, старые учетные записи не отключаются. Такое встречается постоянно, и каждый раз становится понятно одно: без нормальных правил порядок не удержать.
Парольная политика нужна именно для этого. В компании должно быть установлено, как создаются пароли, когда их менять, что делать при утрате и кто отвечает за соблюдение правил. Простые рекомендации здесь не работают, их никто не читает и тем более не выполняет.
Чтобы политика начала приносить пользу, ее приходится дополнять техническими ограничениями, проверками и обычными организационными действиями. Если этого не сделать, документ конечно никуда не денется, но на деле все останется как было, толка от него не будет.
Мы в АБП2Б помогаем организациям в формировании парольной политики и налаживании парольного менеджмента
Парольная политика нужна именно для этого. В компании должно быть установлено, как создаются пароли, когда их менять, что делать при утрате и кто отвечает за соблюдение правил. Простые рекомендации здесь не работают, их никто не читает и тем более не выполняет.
Чтобы политика начала приносить пользу, ее приходится дополнять техническими ограничениями, проверками и обычными организационными действиями. Если этого не сделать, документ конечно никуда не денется, но на деле все останется как было, толка от него не будет.
Мы в АБП2Б помогаем организациям в формировании парольной политики и налаживании парольного менеджмента
Для чего нужна парольная политика
Когда в компании появляется много систем и сервисов, вопросы с доступами начинают накапливаться. Если процесс не выстроен — разные подразделения по разному выдают учетные записи, в итоге требования не соблюдаются и понять, какой порядок действует для всех, становится сложно.
Парольная политика нужна, чтобы привести эти процессы к одному стандарту. Она описывает, каким должен быть пароль, когда его менять, как восстанавливать доступ и кто отвечает за контроль. Документ делает правила едиными и понятными. В политике обычно закрепляют такие вещи:
— какие требования предъявляются к паролям
— как часто они должны меняться
— что делать при утрате или подозрении на компрометацию
— что запрещается делать с паролями
— какие минимальные параметры должны быть у паролей
— какая ответственность у пользователей
— что должен делать ИТ-отдел в рамках этих правил
Без этого любая работа с доступами превращается в набор хаотичных решений, которые плохо сочетаются между собой.
Парольная политика нужна, чтобы привести эти процессы к одному стандарту. Она описывает, каким должен быть пароль, когда его менять, как восстанавливать доступ и кто отвечает за контроль. Документ делает правила едиными и понятными. В политике обычно закрепляют такие вещи:
— какие требования предъявляются к паролям
— как часто они должны меняться
— что делать при утрате или подозрении на компрометацию
— что запрещается делать с паролями
— какие минимальные параметры должны быть у паролей
— какая ответственность у пользователей
— что должен делать ИТ-отдел в рамках этих правил
Без этого любая работа с доступами превращается в набор хаотичных решений, которые плохо сочетаются между собой.
Что должно быть в парольной политике
Чтобы документ был рабочим, в нем должен быть четкий набор правил. Основа обычно берется из типового положения, а дальше дополняется тем, что нужно конкретной компании. Ниже список основных пунктов, которые входят в такую политику и влияют на работу с учетными записями.
Общие положения
В начале документа закрепляют базовые вещи: к каким системам относятся правила, кто должен их соблюдать и кто контролирует выполнение. Здесь же объясняется, зачем политика вводится и какие задачи она закрывает. Такой блок нужен для ясности. Он убирает ситуацию, когда сотрудники говорят, что не знали о требованиях или считали, что они относятся только к отдельным сервисам.
Основные правила работы с паролями
Здесь идут практические требования. Они встречаются почти в каждой компании, но важно не просто перечислить их, а понимать, зачем они нужны.
Вот ключевые правила, которые обычно включают в политику:
Основные параметры выглядят так:
— длина не меньше 12 символов;
— использование строчных и прописных букв, цифр и спецсимволов;
— запрет на личные данные вроде имени, даты рождения, телефона;
— запрет на простые последовательности и повторяющиеся символы
— новый пароль должен заметно отличаться от старого минимум на несколько позиций.
Для систем, которые относятся к ГИС, ИСПДн, АСУ или объектам КИИ, могут действовать дополнительные требования. Их задают уже по профилю системы или регуляторным нормам.
Требования к настройке систем и сервисов
Парольная политика должна работать не только в теории, но и в самих системах. Если технические настройки не совпадают с правилами, пользователи начнут обходить ограничения.
Обычно настраивают два ключевых механизма:
— временную блокировку учетной записи после 3-х неудачных попыток входа;
— запрет на сохранение паролей в браузерах и приложениях.
Эти параметры полностью зона ответственности администратора. Пока они не включены, политика останется формальностью, даже если документ составлен правильно.
Ответственность
В политике отдельно прописывают, за что отвечает сам пользователь. Это 3 вещи:
— разглашение пароля;
— использование слабой комбинации;
— нарушение установленного порядка работы с учетной записью.
Если правила существуют, но не закреплена ответственность, сотрудники быстро перестают их учитывать, просто потому, что никаких последствий нет.
Общие положения
В начале документа закрепляют базовые вещи: к каким системам относятся правила, кто должен их соблюдать и кто контролирует выполнение. Здесь же объясняется, зачем политика вводится и какие задачи она закрывает. Такой блок нужен для ясности. Он убирает ситуацию, когда сотрудники говорят, что не знали о требованиях или считали, что они относятся только к отдельным сервисам.
Основные правила работы с паролями
Здесь идут практические требования. Они встречаются почти в каждой компании, но важно не просто перечислить их, а понимать, зачем они нужны.
Вот ключевые правила, которые обычно включают в политику:
- Первичный пароль меняется при первом входе. Это убирает риск, что кто-то воспользуется временным паролем, который известен не только пользователю.
- Плановая смена паролей. Необходимая мера защиты, где сроки определяются оператором, в зависимости от требований нормативно-правовых актов, или особенностей технологического процесса системы
- Обязательная смена при утрате или сомнениях. Важно не только сменить пароль, но и посмотреть журналы: был ли вообще вход с подозрительных адресов.
- Пароль нельзя передавать другим людям. Правило очевидное, но нарушения встречаются регулярно.
- Запрет на использование подсказок пароля. Подсказки обычно приводят к угадыванию комбинации, поэтому в политике они не допускаются.
- Запрет на хранение паролей в открытом виде. Бумажки, стикеры, файлы, «пароли.xlsx» — одна из самых частых причин проблем.
- Запрет на повторное использование старых паролей. Это снижает шанс, что старый пароль из какой-либо утечки снова окажется рабочим.
- Разные системы — разные пароли. Компрометация одной учетной записи не должна открывать доступ во все остальные.
- Блокировка учетной записи при долгом отсутствии. Часто забывается, хотя именно забытые учетные записи создают заметный риск.
- Удаление учетных записей после увольнения. Этот пункт относится к ИТ-рутинe, но именно здесь чаще всего возникают инциденты.
- Требования к самим паролям. В политике фиксируют минимальные требования к паролям. Это та часть документа, которая напрямую влияет на устойчивость учетных записей.
Основные параметры выглядят так:
— длина не меньше 12 символов;
— использование строчных и прописных букв, цифр и спецсимволов;
— запрет на личные данные вроде имени, даты рождения, телефона;
— запрет на простые последовательности и повторяющиеся символы
— новый пароль должен заметно отличаться от старого минимум на несколько позиций.
Для систем, которые относятся к ГИС, ИСПДн, АСУ или объектам КИИ, могут действовать дополнительные требования. Их задают уже по профилю системы или регуляторным нормам.
Требования к настройке систем и сервисов
Парольная политика должна работать не только в теории, но и в самих системах. Если технические настройки не совпадают с правилами, пользователи начнут обходить ограничения.
Обычно настраивают два ключевых механизма:
— временную блокировку учетной записи после 3-х неудачных попыток входа;
— запрет на сохранение паролей в браузерах и приложениях.
Эти параметры полностью зона ответственности администратора. Пока они не включены, политика останется формальностью, даже если документ составлен правильно.
Ответственность
В политике отдельно прописывают, за что отвечает сам пользователь. Это 3 вещи:
— разглашение пароля;
— использование слабой комбинации;
— нарушение установленного порядка работы с учетной записью.
Если правила существуют, но не закреплена ответственность, сотрудники быстро перестают их учитывать, просто потому, что никаких последствий нет.
Как внедрить парольную политику, чтобы она реально заработала
Во многих компаниях документ с правилами есть, но на практике почти никто его не соблюдает. Это обычная история. Чтобы политика не осталась формальностью, нужна понятная схема внедрения. Что делать, кто делает и как это встроить в ежедневную работу.
Настроить техническое принуждение
Требования из политики должны выполняться автоматически. Если система позволяет пользователю поставить любой пароль, он так и сделает.
Поэтому в AD, почтовых системах, VPN и корпоративных сервисах настраивают:
— длину и сложность пароля;
— запрет на его сохранение;
— историю паролей, чтобы нельзя было вернуть старый;
— срок действия;
— блокировку после нескольких ошибок;
— MFA — там, где это возможно.
Без этих настроек документ с требованиями не даст нужного результата, пользователи будут продолжать работать по старым привычкам.
Провести короткое обучение сотрудников
Здесь не нужны длинные лекции. Достаточно короткого объяснения на 10−15 минут, чтобы сотрудники поняли и приняли информацию. Когда правила объясняют простым языком, большинство сотрудников принимает их без сопротивления.
Упростить работу с паролями
Чтобы политика реально работала, парольный процесс должен быть удобным. С руками это не обеспечить, слишком много систем, разные уровни доступа, частые изменения ролей. Здесь помогает корпоративный менеджер паролей, который он централизует хранение, упорядочивает доступы и убирает ручное управление десятками учетных записей.
Один из таких инструментов — менеджер паролей ОдинКлюч. В нем администратор может назначать права, выдавать доступы по ролям, быстро отзывать их, вести аудит действий и контролировать, кто чем пользуется. Сотрудники получают доступы через единый интерфейс, без необходимости держать пароли у себя.
Такой инструмент снижает нагрузку на администраторов и делает выполнение политики стабильным.
Настроить контроль работы с паролями
Администратору нужен минимальный набор инструментов, чтобы отслеживать, как используется доступ. В задачи обычно входит:
— фиксировать нарушения;
— смотреть блокировки и причины;
— отслеживать попытки подбора;
— отключать учетные записи, которые больше не используются.
Эти вещи напрямую влияют на устойчивость системы. Документ с требованиями их перечисляет, но без контроля они просто не выполняются.
Периодически пересматривать политику
Политика не должна оставаться в неизменном виде. Раз в год ее стоит пересматривать, чтобы обновить требования и учесть риски. Инфраструктура меняется и политика должна соответствовать текущей ситуации.
Настроить техническое принуждение
Требования из политики должны выполняться автоматически. Если система позволяет пользователю поставить любой пароль, он так и сделает.
Поэтому в AD, почтовых системах, VPN и корпоративных сервисах настраивают:
— длину и сложность пароля;
— запрет на его сохранение;
— историю паролей, чтобы нельзя было вернуть старый;
— срок действия;
— блокировку после нескольких ошибок;
— MFA — там, где это возможно.
Без этих настроек документ с требованиями не даст нужного результата, пользователи будут продолжать работать по старым привычкам.
Провести короткое обучение сотрудников
Здесь не нужны длинные лекции. Достаточно короткого объяснения на 10−15 минут, чтобы сотрудники поняли и приняли информацию. Когда правила объясняют простым языком, большинство сотрудников принимает их без сопротивления.
Упростить работу с паролями
Чтобы политика реально работала, парольный процесс должен быть удобным. С руками это не обеспечить, слишком много систем, разные уровни доступа, частые изменения ролей. Здесь помогает корпоративный менеджер паролей, который он централизует хранение, упорядочивает доступы и убирает ручное управление десятками учетных записей.
Один из таких инструментов — менеджер паролей ОдинКлюч. В нем администратор может назначать права, выдавать доступы по ролям, быстро отзывать их, вести аудит действий и контролировать, кто чем пользуется. Сотрудники получают доступы через единый интерфейс, без необходимости держать пароли у себя.
Такой инструмент снижает нагрузку на администраторов и делает выполнение политики стабильным.
Настроить контроль работы с паролями
Администратору нужен минимальный набор инструментов, чтобы отслеживать, как используется доступ. В задачи обычно входит:
— фиксировать нарушения;
— смотреть блокировки и причины;
— отслеживать попытки подбора;
— отключать учетные записи, которые больше не используются.
Эти вещи напрямую влияют на устойчивость системы. Документ с требованиями их перечисляет, но без контроля они просто не выполняются.
Периодически пересматривать политику
Политика не должна оставаться в неизменном виде. Раз в год ее стоит пересматривать, чтобы обновить требования и учесть риски. Инфраструктура меняется и политика должна соответствовать текущей ситуации.
Что меняется в компании после внедрения парольной политики
Когда правила начинают работать вместе с настройками систем, порядок в учетных записях постепенно приводит процессы в нормальное состояние. Становится меньше забытых аккаунтов, снижаются инциденты, связанные с простыми паролями, а работа с доступами занимает меньше времени.
Политика задает единый набор требований, и сотрудники опираются на них в ежедневных задачах. Администраторы, в свою очередь, понимают, какие действия от них ждут и какие учетные записи нужно проверять в первую очередь.
Политика задает единый набор требований, и сотрудники опираются на них в ежедневных задачах. Администраторы, в свою очередь, понимают, какие действия от них ждут и какие учетные записи нужно проверять в первую очередь.
Если компания периодически пересматривает документ и обновляет настройки, политика остается актуальной для реальной инфраструктуры и новых сервисов.
Подробнее осистеме управления паролями от компании АБП2Б и о наших продуктах в сфере кибербезопасности и управления ИТ-инфраструктурой на наших сайтах:
Система управления паролями для бизнеса: АБП2Б
Менеджер паролей ОдинКлюч
Платформа для инвентаризации ИТ-активов ОдинХаб
Подробнее осистеме управления паролями от компании АБП2Б и о наших продуктах в сфере кибербезопасности и управления ИТ-инфраструктурой на наших сайтах:
Система управления паролями для бизнеса: АБП2Б
Менеджер паролей ОдинКлюч
Платформа для инвентаризации ИТ-активов ОдинХаб
