Cerințe minime privind gestionarea parolelor sistemelor de calcul într-un sistem de management al securității informației (ISO 27001)

În continuare vom prezenta câteva caracteristici pentru stabilirea unor reguli de buna practică pentru managementul parolelor de utilizator atât pentru sistemele de calcul cât si pentru alte sisteme informatice.

Caracteristicile parolelor:

1. Parolele trebuie sa îndeplinească urmatoarele caracteristici:

• Sa fie schimbate de utilizator periodic, cel putin o dată la 30-40 de zile;
• Sa aibă o lungime minima de 8 caractere;
•  

2. Daca exista suspiciuni ca o parolă a putut fi divulgată aceasta trebuie schimbată imediat.

3. Administratorul de sistem nu trebuie sa permită schimbarea parolelor utilizatorilor folosind contul său.

4. Parola contului de administrator de pe stațiile de lucru va fi schimbată la maxim 60 de zile. În cazul în care parola a fost aflată de alte persoane din motive obiective, aceasta va fi schimbată imediat când va fi posibil.

5. Nu se recomandă sa folosiți fișiere de stocare a parolelor sau aplicații de gestionare parole.

6. Sistemele de calcul nu trebuie lăsate nesupravegheate fără a activa un sistem de blocare a accesului la acestea; deblocarea trebuie sa se faca folosind parola.

7. Procedurile de schimbare a parolei trebuie sa respecte urmatoarele cerințe:

• Utilizatorul se va identfica, administratorul va verifica drepturile de acces a persoanei la contul utilizator;
• Se va genera o parolă care va fi comunicată utilizatorului
• Utilizatorul va schimba parola temporară, comunicată anterior, în maxim 24 ore.

8. Parolele trebuie sa conțină litere mici si mari, se recomandă sa aibă cel putin 2-3 caractere numerice. Caracterele numerice nu trebuie să se afle la începutul sau la sfârsitul parolei. Caracterele speciale ar trebui incluse în parole acolo unde sistemul permite. Caracterele speciale sunt de tipul %$@ etc.

9. Parolele trebuie sa respecte minimum urmatoarele condiții, în sensul că nu trebuie:

• sa coincidă cu codul numeric personal;
• sa coincidă cu data nașterii;
• sa fie numărul dvs. de telefon;
• sa fie asemanatoare cu numele dvs. de utilizator (login-ul);
• sa fie asemanatoare cu numele dvs.;
• sa fie asemanatoare cu numele membrilor familiei;
• sa coincidă cu funția, departamentul etc.;
• sa coincidă cu nume de străzi, nume proprii;
• sa coincidă cu mărci sau modele de mașini etc;
• sa fie termeni tehnici;
• sa coincidă cu numele sau sloganul unor organizații;
• sa fie cuvinte din dicționar.

10. Parolele trebuie sa fie complexe.

11. Reutilizarea parolelor nu este acceptată.

12. Parola nu trebuie comunicată decât persoanelor autorizate, pentru o perioadă determinată numai în situația în care acestea, din motive verificabile, au nevoie de parola respectivă, parola fiind utilizată sub controlul utilizatorului. 

Mihai Gheorghe Director Calitate Indaco Systems