Анна , Ольга Бачина
  • 4 мин
  • 96

Парольная политика: как подготовить рабочий документ

Политика паролей организации  — это важный документ, который определяет правила создания, хранения и использования паролей в компании. Наличие понятной политики паролей помогает снизить риск утечек данных, защитить корпоративные системы и установить единые стандарты информационной безопасности.

По нашей статистике на 1 организацию приходится более сотни учётных записей (пара «логин пароль»)  к корпоративным информационным системам. В реальности, их больше.

«Политика паролей» или «Парольная политика»?

Принципиальной разницы в названии нет.  Но в IT-отделах часто используются термин «Парольная политика» в контексте настройки базовых требований безопасности к паролям в домене Active Directory. Поэтому, технические специалисты (в области инфобеза, кибербеза) могут использовать термин «Парольная политика» в техническом контексте.

Справка:  Active Directory используется в операционных системах компании Microsoft. Если ваша компания использует Active Directory, вы получаете единую точку аутентификации. Это позволяет сотрудникам использовать один и тот же логин и пароль для доступа ко всем корпоративным ресурсам в сети. 

Что бы избежать путаницы в терминологии мы обозначим ограничения: в статье мы говорим не о настройке ACD.

Описанную процедуру можно использовать нетехническим сотрудникам в любой организации и отрасли там, где есть информационные системы и учётные записи для авторизации.

Пароли в организации: в чём проблемы?

Даже при хорошем уровне ответственности люди часто выбирают более удобные, но небезопасные способы работы: сохраняют пароли в браузере, записывают их на листочках и хранят под клавиаутрой или в чехле мобильного телефона, вносят таблицы и передают через мессенджеры.

Такие привычки повышают риск утечки данных и несанкционированного доступа.

Надежная политика паролей помогает установить единые и обязательные правила для всей компании. Она определяет, как создаются, хранятся, передаются, проверяются и обновляются пароли. Такая политика снижает риски, упрощает контроль доступов, помогает соблюдать требования стандартов безопасности и регуляторов (как минимум, 152-ФЗ) и делает процессы единообразными для всех подразделений.

Руководителю становится легче: становятся понятны зоны ответственности за корпоративные данные.

Для реальной защиты нужны инструменты и процессы, которые позволяют сотрудникам соблюдать требования без лишних сложностей. Если безопасное поведение неудобно, сотрудники начинают искать обходные пути. Поэтому цель организации — сделать правильную практику самой простой и естественной.

Что включает политика паролей

Современная политика паролей учитывает специфику организации, отрасль, количество информационных систем, наличие (или отсутствие) IT-службы. Парольная политика госкорпорации, медицинского центра или отеля будет различной, но в некоторые приницпы управления паролями будут общими для всех. 

«Санитарный минимум», с нашей точки зрения, должен включать: 

  1. Область применения.
  2. Требования к длине, уникальности, надежности пароля.
  3. Хранение паролей.
  4. Недопустимые способы хранения паролей. 
  5. Правила передачи паролей.
  6. Правила выдачи доступов при приеме на работу.
  7. Правила отзыва доступа при увольнении сотрудников.

На кого распространяется политика паролей

Сегодня доступ к корпоративным системам имеют не только штатные сотрудники, но и подрядчики, поставщики, технические специалисты внешних организаций и партнеры. Поэтому правила должны охватывать всех пользователей, работающих с данными компании через парольную аутентификацию.

Политика должна распространяться:

  • на все информационные системы предприятия (файловые сервера, облачные платформы, SaaS-сервисы, внутренние системы).

Нормативные требования в России: ФСТЭК, ГОСТ и 152-ФЗ

Для организаций, которые работают с государственными информационными системами, персональными данными или объектами критической информационной инфраструктуры, парольная политика обязательна.

Это требование закреплено в приказах ФСТЭК России №117, №21 и №239, которые предусматривают меры по идентификации и аутентификации пользователей.

Кроме того, закон №152-ФЗ «О персональных данных» обязывает операторов защищать персональные данные, а конкретные технические меры для этого установлены в приказе ФСТЭК №21.

С чего начать?

FAQ: политика паролей в организации

Что такое политика паролей?

Политика паролей — это набор внутренних правил компании, который определяет, как создавать, хранить, использовать и менять пароли для доступа к корпоративным системам.

Зачем компании нужна политика паролей?

Она нужна для снижения риска утечек данных, предотвращения несанкционированного доступа и установления единых правил безопасности для всех сотрудников и подрядчиков.

Как юридически оформить правила хранения паролей для сотрудников?

На вопрос отвечает адвокат по гражданским и уголовным делам Елизавета Льготина.

Я директор компании, с чего начать подготовку документа?
  1. Начните со сбора всех паролей — проведите учёт паролей (учётных записей) для информационных систем. 
  2. Внесите пароли в менеджер паролей TeamDo.
  3. Получите шаблон «Парольной политики» и внесите в него изменения под свою организацию.

Полезная информация 

Как мы искали понятный термин для учеток и доступов, но так и не нашли. Подробнее