Как внедрить в организацию новую парольную политику: инструкция для безопасников.

Представьте, что у вас стоит задача: наконец-то в компании озаботились информационной безопасностью. С чего начать и как не допустить хаоса с работе IT-отдела разбираем в статье.

Одновременная смена всех паролей вызовет лавину обращений в техподдержку. Начать можно с пользователей, кто очень давно не менял пароль к учетной записи - более года. Недавно устроившиеся на работу сотрудники, которые получили новый пароль совсем недавно, могут негативно отнестись к повторной смене — эту группу можно оставить напоследок.

Наличие уже известной группы со скомпрометированными паролями предоставляет отличную возможность для тестирования развёртывания. Эти учётные записи можно использовать как пилотную группу, что позволит сначала решить проблемы пользователей с высоким риском и получить обратную связь о процессе развёртывания.

Обязательно подготовьте письмо, а лучше не одно о грядущих изменениях. В сообщении объясните, зачем нужна смена паролей, а также требования к новой парольной политике, напомните базовые правила информационной безопасности: не делиться паролями, не записывать их. Укажите, к кому обращаться в су

Также стоит рассмотреть возможность тестирования подхода к инструктажу пользователей. Важно сохранять простоту и понятность. Если происходит переход от политики коротких сложных паролей (например, восемь символов с комбинацией цифр, строчных, прописных букв и специальных символов) к более простым, но длинным парольным фразам, это может существенно отличаться от прежних требований.

Вот пример сообщения, которое можно адаптировать под конкретные нужды:
Коллеги!
В период с XX/XX/XX по XX/XX/XX будет внедрена новая политика паролей в организации —это значит, у вас изменится пароль к учетной записи.
Это нужно для повышения уровня информационной безопасности как ваших материалов, так и компании в целом. Смена пароля должна производиться регулярно, чтобы минимизировать его взлом или подбор. В указанный период технический специалист предоставит ваш новый пароль.
Помните о лучших практиках безопасности паролей. Не следует:

- Делиться паролем;

- Записывать пароль (кроме хранения в безопасном месте);

- Повторно использовать пароль на других устройствах, в приложениях и на сайтах;

При возникновении вопросов обращайтесь по адресу [email].

С уважением, [Подпись]»

Существуют и другие группы пользователей в организации, для которых может потребоваться адаптация вышеуказанного сообщения.

Команды поддержки должны быть готовы к повышенному объёму обращений во время внедрения новой политики. Им необходимо досконально знать все требования и иметь чёткий план действий при возникновении проблем. Важно обеспечить надёжную систему идентификации пользователей при обращениях по сбросу пароля. Даже при идеальном планировании внедрения возникают сложности адаптации, поэтому службе поддержки нужно быть максимально подготовленной.

Руководителям важно понимать причины и цели внедрения новой политики. Предоставление статистики и конкретных примеров рисков поможет заручиться их поддержкой. Менеджеры играют ключевую роль в коммуникации с подчинёнными и могут значительно повлиять на успех внедрения, объясняя важность изменений и поддерживая сотрудников в процессе перехода.

Требуют особого подхода, так как обеспечивают работу критических систем. Обычно не имеют срока истечения паролей, а пароли от них хранятся в защищённом хранилище. Рекомендуется установить повышенные требования к сложности (от 64 символов) и проанализировать защиту от атак типа «отказ в обслуживании» через политику блокировки.

Пользователи с высокими привилегиями требуют усиленной защиты. Для них рекомендуется внедрить более строгие требования к длине паролей и сохранить политику регулярной смены, даже если для обычных пользователей она не предусмотрена. Необходимо отдельно проинформировать их о повышенных требованиях безопасности и причинах их введения.

При планировании важно учесть сотрудников в длительном отпуске, которые могут не иметь доступа к системам для смены пароля. Следует заранее проработать этот вопрос с руководителями и HR-отделом, разработав специальные инструкции и процедуры. Необходимо обеспечить альтернативные способы коммуникации и безопасной смены пароля после возвращения.

Помимо чёткого плана коммуникации, существует несколько элементов, которые можно добавить в политику паролей для упрощения работы пользователей:

Когда сотрудники понимают причины изменений и получают необходимую поддержку, они становятся активными участниками процесса обеспечения информационной безопасности организации, а не просто исполнителями навязанных правил.