Анна Крампец, Ольга Бачина
  • 1 мин
  • 18

Политика паролей: как подготовить документ для сотрудников

Политика паролей организации — это важный документ, который определяет правила создания, хранения и использования паролей в компании. Наличие понятной политики паролей помогает снизить риск утечек данных, защитить корпоративные системы и установить единые стандарты информационной безопасности.

Организациям больше нельзя оставлять безопасность паролей на усмотрение сотрудников.

Даже при хорошем уровне ответственности люди часто выбирают более удобные, но небезопасные способы работы: сохраняют пароли в браузере, записывают их на листочках и хранят под клавиаутрой или в чехле мобильного телефона, вносят таблицы и передают через мессенджеры.

Такие привычки повышают риск утечки данных и несанкционированного доступа.

Надежная политика паролей помогает установить единые и обязательные правила для всей компании. Она определяет, как создаются, хранятся, передаются, проверяются и обновляются пароли. Такая политика снижает риски, упрощает контроль доступов, помогает соблюдать требования стандартов безопасности и регуляторов (как минимум, 152-ФЗ) и делает процессы единообразными для всех подразделений.

Для реальной защиты нужны инструменты и процессы, которые позволяют сотрудникам соблюдать требования без лишних сложностей. Если безопасное поведение неудобно, сотрудники начинают искать обходные пути. Поэтому цель организации — сделать правильную практику самой простой и естественной.

Что включает политика паролей

Современная политика паролей учитывает специфику организации, отрасль, количество информационных систем, наличие (или отсутствие) IT-службы. Парольная политика госкорпорации, медицинского центра или отеля будет различной, но в некоторые приницпы управления паролями будут общими для всех. 

«Санитарный минимум», с нашей точки зрения, должен включать: 

  1. Область применения.
  2. Требования к длине, уникальности, надежности пароля.
  3. Хранение паролей.
  4. Недопустимые способы хранения паролей. 
  5. Правила передачи паролей.
  6. Правила выдачи доступов при приеме на работу.
  7. Правила отзыва доступа при увольнении сотрудников.

На кого распространяется политика паролей

Сегодня доступ к корпоративным системам имеют не только штатные сотрудники, но и подрядчики, поставщики, технические специалисты внешних организаций и партнеры. Поэтому правила должны охватывать всех пользователей, работающих с данными компании через парольную аутентификацию.

Политика должна распространяться:

  • на все информационные системы предприятия (файловые сервера, облачные платформы, SaaS-сервисы, внутренние системы)
  • на общие и сервисные аккаунты. 

«Политика паролей» или «Парольная политика»?

Принципиальной разницы в названии документа нет, но часто ИТ-специалисты используют термин «парольна политика».

С чего начать?

FAQ: политика паролей в организации

Что такое политика паролей?

Политика паролей — это набор внутренних правил компании, который определяет, как создавать, хранить, использовать и менять пароли для доступа к корпоративным системам.

Зачем компании нужна политика паролей?

Она нужна для снижения риска утечек данных, предотвращения несанкционированного доступа и установления единых правил безопасности для всех сотрудников и подрядчиков.

Как юридически оформить правила хранения паролей для сотрудников?

На вопрос отвечает адвокат по гражданским и уголовным делам Елизавета Льготина.

Я директор компании, с чего начать подготовку документа?
  1. Начните со сбора всех паролей — проведите учёт паролей (учётных записей) для информационных систем. 
  2. Внесите пароли в менеджер паролей TeamDo.
  3. Получите шаблон «Парольной политики» и внесите в него изменения под свою организацию.