Цель данного документа – определить план действий по приведению управления паролями в соответствие с современными требованиями информационной безопасности для объектов локальной вычислительной сети ГНЦ ИБХ РАН.
1.1. Провести полный аудит текущего состояния управления паролями:
Определение всех систем и приложений, использующих пароли.
Анализ текущих политик паролей и их соответствие современным стандартам.
Выявление слабых мест и потенциальных уязвимостей в существующих процессах.
2.1. Разработать и внедрить обновленную политику паролей, включающую следующие требования:
Минимальная длина пароля: 12 символов.
Сложность пароля: использование заглавных и строчных букв, цифр и специальных символов.
Запрет на использование общих и легкоподбираемых паролей.
Периодическая смена паролей: не реже одного раза в 90 дней.
Запрет на повторное использование последних 5 паролей.
3.1. Внедрение многофакторной аутентификации (MFA) для всех критически важных систем и приложений.
3.2. Использование средств управления паролями (Password Managers) для создания и хранения сложных паролей:
Выбор сертифицированного решения для управления паролями.
Настройка и обучение персонала работе с менеджерами паролей.
3.3. Настройка автоматических оповещений и аудита паролей для выявления и устранения возможных нарушений политики паролей.
4.1. Проведение регулярного обучения сотрудников по вопросам информационной безопасности и правильного использования паролей:
Организация тренингов и вебинаров.
Распространение памяток и инструкций по созданию безопасных паролей и работе с ними.
4.2. Регулярное тестирование сотрудников на знание и соблюдение политики паролей:
Проведение тестовых проверок.
Анализ результатов и корректировка обучающих программ.
5.1. Назначение ответственных лиц за контроль соблюдения политики паролей и проведение регулярных проверок.
5.2. Разработка и внедрение процедур реагирования на инциденты, связанные с компрометацией паролей:
Быстрая смена паролей в случае подозрения на утечку.
Уведомление всех заинтересованных сторон и проведение расследования.
Настоящий план направлен на повышение уровня информационной безопасности в ГНЦ ИБХ РАН путем приведения системы управления паролями в соответствие с современными требованиями. Его выполнение обеспечит защиту данных и снизит риски несанкционированного доступа к информационным ресурсам.