Куда я попал?
Guideline for a healthy information system v.2.0 (EN)
Framework
10 STANDARD
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
5.2
5.2 Use Unique Passwords
Use unique passwords for all enterprise assets. Best practice implementation includes, at a minimum, an 8-character password for accounts using MFA and a 14-character password for accounts not using MFA.
Use unique passwords for all enterprise assets. Best practice implementation includes, at a minimum, an 8-character password for accounts using MFA and a 14-character password for accounts not using MFA.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
РД.11
РД.11 Временная блокировка учетной записи пользователей после выполнения ряда неуспешных последовательных попыток аутентификации на период времени не менее 30 мин
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
РД.19
РД.19 Смена паролей пользователей не реже одного раза в год
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
РД.20
РД.20 Смена паролей эксплуатационного персонала не реже одного раза в квартал
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
РД.21
РД.21 Использование пользователями паролей длиной не менее восьми символов
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
РД.22
РД.22 Использование эксплуатационным персоналом паролей длиной не менее шестнадцати символов
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
РД.24
РД.24 Запрет использования в качестве паролей субъектов логического доступа легко вычисляемых сочетаний букв и цифр (например, имена, фамилии, наименования, общепринятые сокращения)
3-Н 2-О 1-О
3-Н 2-О 1-О
РД.23
РД.23 Использование при формировании паролей субъектов логического доступа символов, включающих буквы (в верхнем и нижнем регистрах) и цифры
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УПД.6
УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)
АНЗ.5
АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
5.2
5.2 Используются уникальные пароли
Для учетных записей с многофакторной аутентификацией задан пароль длиной не менее 8 символов.
Для учетных записей без многофакторной аутентификации задан пароль длиной не менее 14 символов.
Для учетных записей с многофакторной аутентификацией задан пароль длиной не менее 8 символов.
Для учетных записей без многофакторной аутентификации задан пароль длиной не менее 14 символов.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 8.3.4
8.3.4
Defined Approach Requirements:
Invalid authentication attempts are limited by:
Defined Approach Requirements:
Invalid authentication attempts are limited by:
- Locking out the user ID after not more than 10 attempts.
- Setting the lockout duration to a minimum of 30 minutes or until the user’s identity is confirmed.
Customized Approach Objective:
An authentication factor cannot be guessed in a brute force, online attack.
Applicability Notes:
This requirement is not intended to apply to user accounts on point-of-sale terminals that have access to only one card number at a time to facilitate a single transaction (such as IDs used by cashiers on point-of-sale terminals).
Defined Approach Testing Procedures:
An authentication factor cannot be guessed in a brute force, online attack.
Applicability Notes:
This requirement is not intended to apply to user accounts on point-of-sale terminals that have access to only one card number at a time to facilitate a single transaction (such as IDs used by cashiers on point-of-sale terminals).
Defined Approach Testing Procedures:
- 8.3.4.a Examine system configuration settings to verify that authentication parameters are set to require that user accounts be locked out after not more than 10 invalid logon attempts.
- 8.3.4.b Examine system configuration settings to verify that password parameters are set to require that once a user account is locked out, it remains locked for a minimum of 30 minutes or until the user’s identity is confirmed.
Purpose:
Without account-lockout mechanisms in place, an attacker can continually try to guess a password through manual or automated tools (for example, password cracking) until the attacker succeeds and gains access to a user’s account.
If an account is locked out due to someone continually trying to guess a password, controls to delay reactivation of the locked account stop the malicious individual from guessing the password, as they will have to stop for a minimum of 30 minutes until the account is reactivated.
Good Practice:
Before reactivating a locked account, the user’s identity should be confirmed. For example, the administrator or help desk personnel can validate that the actual account owner is requesting reactivation, or there may be password reset selfservice mechanisms that the account owner uses to verify their identity
Without account-lockout mechanisms in place, an attacker can continually try to guess a password through manual or automated tools (for example, password cracking) until the attacker succeeds and gains access to a user’s account.
If an account is locked out due to someone continually trying to guess a password, controls to delay reactivation of the locked account stop the malicious individual from guessing the password, as they will have to stop for a minimum of 30 minutes until the account is reactivated.
Good Practice:
Before reactivating a locked account, the user’s identity should be confirmed. For example, the administrator or help desk personnel can validate that the actual account owner is requesting reactivation, or there may be password reset selfservice mechanisms that the account owner uses to verify their identity
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.4.3
A.9.4.3 Система управления паролями
Мера обеспечения информационной безопасности: Системы управления паролями должны быть интерактивными и должны обеспечивать уверенность в качестве паролей
Мера обеспечения информационной безопасности: Системы управления паролями должны быть интерактивными и должны обеспечивать уверенность в качестве паролей
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 4.4
CSC 4.4 Use Unique Passwords
Where multi-factor authentication is not supported (such as local administrator, root, or service accounts), accounts will use passwords that are unique to that system.
Where multi-factor authentication is not supported (such as local administrator, root, or service accounts), accounts will use passwords that are unique to that system.
CSC 4.2
CSC 4.2 Change Default Passwords
Before deploying any new asset, change all default passwords to have values consistent with administrative level accounts.
Before deploying any new asset, change all default passwords to have values consistent with administrative level accounts.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.3.4
8.3.4
Определенные Требования к Подходу:
Недопустимые попытки аутентификации ограничены:
Определенные Требования к Подходу:
Недопустимые попытки аутентификации ограничены:
- Блокировкой идентификатора пользователя не более чем после 10 попыток.
- Установка продолжительности блокировки минимум на 30 минут или до тех пор, пока не будет подтверждена личность пользователя.
Цель Индивидуального подхода:
Фактор аутентификации не может быть угадан при переборе, онлайн-атаке.
Примечания по применению:
Это требование не предназначено для применения к учетным записям пользователей в торговых терминалах, которые имеют доступ только к одному номеру карты одновременно для облегчения одной транзакции (например, идентификаторы, используемые кассирами в торговых терминалах).
Определенные Процедуры Тестирования Подхода:
Фактор аутентификации не может быть угадан при переборе, онлайн-атаке.
Примечания по применению:
Это требование не предназначено для применения к учетным записям пользователей в торговых терминалах, которые имеют доступ только к одному номеру карты одновременно для облегчения одной транзакции (например, идентификаторы, используемые кассирами в торговых терминалах).
Определенные Процедуры Тестирования Подхода:
- 8.3.4.a Проверьте параметры конфигурации системы, чтобы убедиться, что параметры аутентификации установлены так, чтобы требовать блокировки учетных записей пользователей не более чем после 10 неудачных попыток входа в систему.
- 8.3.4.b Проверьте настройки конфигурации системы, чтобы убедиться, что параметры пароля установлены так, чтобы после блокировки учетной записи пользователя она оставалась заблокированной минимум на 30 минут или до подтверждения личности пользователя.
Цель:
Без механизмов блокировки учетной записи злоумышленник может постоянно пытаться угадать пароль с помощью ручных или автоматических инструментов (например, взлом пароля), пока злоумышленник не добьется успеха и не получит доступ к учетной записи пользователя.
Если учетная запись заблокирована из-за того, что кто-то постоянно пытается угадать пароль, элементы управления для задержки повторной активации заблокированной учетной записи не позволяют злоумышленнику угадать пароль, поскольку им придется остановиться минимум на 30 минут, пока учетная запись не будет повторно активирована.
Надлежащая практика:
Перед повторной активацией заблокированной учетной записи необходимо подтвердить личность пользователя. Например, администратор или сотрудники службы поддержки могут подтвердить, что фактический владелец учетной записи запрашивает повторную активацию, или могут быть механизмы самообслуживания сброса пароля, которые владелец учетной записи использует для проверки своей личности
Без механизмов блокировки учетной записи злоумышленник может постоянно пытаться угадать пароль с помощью ручных или автоматических инструментов (например, взлом пароля), пока злоумышленник не добьется успеха и не получит доступ к учетной записи пользователя.
Если учетная запись заблокирована из-за того, что кто-то постоянно пытается угадать пароль, элементы управления для задержки повторной активации заблокированной учетной записи не позволяют злоумышленнику угадать пароль, поскольку им придется остановиться минимум на 30 минут, пока учетная запись не будет повторно активирована.
Надлежащая практика:
Перед повторной активацией заблокированной учетной записи необходимо подтвердить личность пользователя. Например, администратор или сотрудники службы поддержки могут подтвердить, что фактический владелец учетной записи запрашивает повторную активацию, или могут быть механизмы самообслуживания сброса пароля, которые владелец учетной записи использует для проверки своей личности
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.6
УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)
АНЗ.5
АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе
SWIFT Customer Security Controls Framework v2022:
4 - 4.1 Password Policy
4.1 Password Policy
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УПД.6
УПД.6 Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УПД.6
УПД.6 Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
9.4.3
9.4.3 Система управления паролями
Мера обеспечения ИБ
Системы управления паролями должны быть интерактивными и должны обеспечивать уверенность в качестве паролей.
Руководство по применению
Система управления паролями должна:
- a) обеспечить использование индивидуальных пользовательских идентификаторов и паролей для обеспечения отслеживаемости;
- b) позволять пользователям выбирать и изменять свои собственные пароли и включать процедуру подтверждения для обеспечения возможности исправления ошибок ввода;
- c) обеспечивать выбор качественных паролей;
- d) заставлять пользователей изменять свои пароли при первом входе в систему;
- e) агитировать регулярно или по мере необходимости менять пароли;
- f) вести учет ранее использованных паролей и предотвращать их повторное использование;
- g) не отображать пароли на экране при их вводе;
- h) хранить файлы с паролями отдельно от данных прикладных систем;
- i) хранить и передавать пароли в защищенном виде.
Дополнительная информация
Некоторые приложения требуют, чтобы пароли пользователей назначались независимой стороной; в таких случаях пункты b), d) и e) вышеуказанного руководства к системе не применяются. В большинстве случаев пароли выбирают и меняют пользователи.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.