Парольная политика — один из обязательных документов для организаций, работающих с ГИС, ИСПДн или объектами КИИ. Требования ФСТЭК (Приказы №117, №21, №239) прямо указывают на необходимость регламентации идентификации и аутентификации. На практике же парольная политика часто сводится к формальному документу, скопированному из интернета, который не соответствует ни классу защищённости системы, ни реальным настройкам Active Directory. В этой статье — конкретные требования регуляторов, структура документа, параметры по классам защищённости и рекомендации по технической реализации.
Что такое парольная политика и зачем она нужна
Парольная политика как элемент СУИБ
Парольная политика — внутренний нормативный документ организации, определяющий правила создания, использования, хранения и смены паролей. В иерархии документов ИБ парольная политика относится к 3-му уровню (стандарты) или оформляется как раздел политики управления доступом.
Место парольной политики в системе документов:
- Политика ИБ (2-й уровень) — определяет принципы управления доступом
- Парольная политика (3-й уровень) — конкретизирует требования к паролям
- Инструкция пользователя (5-й уровень) — содержит правила работы с паролями для сотрудников
- Настройки GPO (техническая реализация) — обеспечивают принудительное соблюдение требований
Нормативные основания: ФСТЭК, ФСБ, ГОСТ
Парольная политика обязательна для организаций, подпадающих под действие следующих нормативных актов:
| Нормативный акт | Что требует | Для кого |
|---|---|---|
| Приказ ФСТЭК №117 | Меры ИАФ.1–ИАФ.6 (идентификация и аутентификация) | Операторы ГИС |
| Приказ ФСТЭК №21 | Меры ИАФ.1–ИАФ.6 | Операторы ИСПДн |
| Приказ ФСТЭК №239 | Меры ИАФ.1–ИАФ.6 | Субъекты КИИ |
| 152-ФЗ | Организационные меры защиты ПДн | Все операторы ПДн |
| ГОСТ Р 57580.1-2017 | Требования к аутентификации | Финансовые организации |
| ГОСТ Р ИСО/МЭК 27001 | Управление доступом (A.9) | Организации с СУИБ |
Последствия отсутствия парольной политики
Отсутствие утверждённой парольной политики влечёт:
- Замечание при проверке ФСТЭК — невыполнение мер ИАФ квалифицируется как несоответствие
- Проблемы при аттестации — аттестация ГИС или ИСПДн невозможна без комплекта ОРД
- Инциденты — без формализованных требований пользователи используют простые пароли, один пароль на все системы, записывают пароли на стикерах
- Отсутствие ответственности — без документа невозможно привлечь сотрудника к дисциплинарной ответственности за нарушение правил
Требования к паролям по нормативным документам
Требования ФСТЭК (Приказы №117, №21, №239)
ФСТЭК устанавливает требования через блок мер ИАФ (идентификация и аутентификация). Конкретные параметры зависят от класса защищённости / уровня защищённости информационной системы.
Мера ИАФ.1 — идентификация и аутентификация пользователей:
- Использование уникальных идентификаторов (логинов)
- Аутентификация при каждом входе в систему
- Для систем высокого класса — многофакторная аутентификация
Мера ИАФ.4 — управление аутентификаторами (паролями):
- Установление требований к сложности паролей
- Определение периодичности смены
- Блокировка при неудачных попытках
- Запрет повторного использования паролей
Мера ИАФ.5 — защита обратной связи при аутентификации:
- Маскирование пароля при вводе (отображение символов «*»)
- Защита от перехвата аутентификационных данных
ГОСТ Р 57580.1-2017 для финансовых организаций
ГОСТ 57580.1 предъявляет усиленные требования для банков и финансовых организаций:
- Длина пароля — не менее 8 символов (усиленный уровень — не менее 12)
- Сложность — буквы разного регистра, цифры, спецсимволы
- Периодичность смены — не реже раза в 90 дней (привилегированные УЗ — 60 дней)
- Блокировка — после 5-10 неудачных попыток
- Хранение истории — запрет повторения последних 10-12 паролей
- МФА — обязательна для удалённого доступа и привилегированных УЗ
Рекомендации NIST и ISO 27002
Международные стандарты расходятся с российскими требованиями в ряде позиций:
| Параметр | ФСТЭК / ГОСТ | NIST SP 800-63B | ISO 27002 |
|---|---|---|---|
| Минимальная длина | 8-12 символов | 8 символов (рекомендуется 15+) | Определяется организацией |
| Сложность | Обязательна | Не рекомендуется навязывать | Рекомендуется |
| Периодическая смена | Обязательна (90 дней) | Не рекомендуется (только при компрометации) | По усмотрению |
| Блокировка | 5-10 попыток | Рекомендуется с увеличением задержки | Рекомендуется |
| МФА | По классу системы | Рекомендуется всем | Рекомендуется |
Российские организации обязаны соблюдать требования ФСТЭК, даже если международные рекомендации (NIST) предлагают иной подход. Несоблюдение российских нормативных требований — основание для предписания при проверке. Рекомендации NIST можно использовать как дополнение, но не замену.
Сводная таблица требований
| Параметр | ГИС 3 класса | ГИС 2 класса | ГИС 1 класса | ИСПДн УЗ-3/4 | ИСПДн УЗ-1/2 | КИИ кат. 3 | КИИ кат. 1-2 |
|---|---|---|---|---|---|---|---|
| Мин. длина пароля | 8 симв. | 8 симв. | 12 симв. | 6-8 симв. | 8-12 симв. | 8 симв. | 12 симв. |
| Сложность | Буквы + цифры | Регистры + цифры + спец. | Регистры + цифры + спец. | Буквы + цифры | Регистры + цифры + спец. | Регистры + цифры | Регистры + цифры + спец. |
| Смена пароля | 90 дней | 90 дней | 60 дней | 180 дней | 90 дней | 90 дней | 60 дней |
| Блокировка (попытки) | 10 | 7 | 5 | 10 | 5 | 7 | 5 |
| История паролей | 5 | 8 | 12 | 3 | 10 | 8 | 12 |
| МФА | Нет | Рекомендуется | Обязательна | Нет | Обязательна (УЗ-1) | Нет | Обязательна |
Сложно отслеживать соответствие парольной политики требованиям для разных информационных систем? Модуль документов ИБ в КиберОснова автоматически контролирует актуальность всех политик и связывает их с конкретными системами и мерами защиты.
Структура документа «Парольная политика»
Общие положения и область применения
Вводный раздел определяет:
- Назначение документа — установление требований к парольной аутентификации
- Область применения — перечень информационных систем, на которые распространяется политика (все ИС организации или конкретные: ГИС, ИСПДн, КИИ)
- Нормативные основания — ссылки на приказы ФСТЭК, ФСБ, ГОСТы
- Термины и определения — пароль, аутентификация, учётная запись, привилегированный доступ
- Ответственность — кто отвечает за реализацию и контроль
Требования к длине и сложности паролей
Центральный раздел документа. Рекомендуется разделять требования по категориям учётных записей:
Обычные пользователи:
- Минимальная длина — 8 символов
- Обязательно: буквы верхнего и нижнего регистра, цифры
- Рекомендуется: спецсимволы (!@#$%^&*)
- Запрещается: имя пользователя, название организации, словарные слова, последовательности (123456, qwerty)
Привилегированные учётные записи (администраторы):
- Минимальная длина — 12 символов
- Обязательно: буквы обоих регистров, цифры, спецсимволы
- Запрещается: совпадение с паролем обычной УЗ того же пользователя
- Рекомендуется: использование парольных фраз (passphrase)
Сервисные учётные записи:
- Минимальная длина — 16 символов
- Генерация криптографически стойким генератором
- Хранение в защищённом хранилище (vault)
- Смена при увольнении знающего пароль сотрудника
Периодичность и правила смены паролей
- Обычные УЗ — смена не реже чем раз в 90 дней
- Привилегированные УЗ — смена не реже чем раз в 60 дней
- Сервисные УЗ — смена не реже чем раз в 180 дней и при увольнении
- Внеплановая смена — при подозрении на компрометацию (немедленно)
- Запрет повторного использования — последние 10 паролей (для высоких классов — 12)
- Минимальный срок жизни пароля — 1 день (защита от быстрой «прокрутки» истории)
Хранение и передача паролей
- Запрещается: записывать на бумаге, хранить в текстовых файлах, отправлять по email
- Допускается: использование корпоративного менеджера паролей (KeePass, Bitwarden)
- Первичный пароль при создании УЗ — одноразовый, со сменой при первом входе
- Передача паролей — только через защищённый канал, запрет устной передачи по телефону
Многофакторная аутентификация
Определите, для каких систем и ролей МФА обязательна:
| Сценарий | МФА обязательна | МФА рекомендуется |
|---|---|---|
| Удалённый доступ (VPN) | Да | — |
| Администрирование серверов | Да | — |
| Доступ к ГИС 1-2 класса | Да | — |
| Доступ к ИСПДн УЗ-1 | Да | — |
| Доступ к объектам КИИ кат. 1-2 | Да | — |
| Доступ к корпоративной почте | — | Да |
| Доступ к CRM, ERP | — | Да |
| Доступ к рабочей станции в офисе | — | Да (для привилегированных УЗ) |
Допустимые виды второго фактора:
- Аппаратный токен (Рутокен, eToken, YubiKey)
- Программный OTP-генератор (Google Authenticator, FreeOTP)
- Push-уведомление на корпоративное мобильное устройство
- SMS-код (минимально допустимый уровень, не рекомендуется для высоких классов)
Сервисные и привилегированные учётные записи
Отдельный раздел необходим для учётных записей с повышенными привилегиями:
- Администраторы домена — МФА обязательна, пароль 12+ символов, смена каждые 60 дней
- root / локальный администратор — пароль 16+ символов, хранение в vault, доступ по запросу
- Сервисные УЗ (SQL, приложения, бэкапы) — генерированные пароли 16+ символов, хранение в vault
- Учётные записи подрядчиков — временные, с ограниченным сроком действия, МФА обязательна
Ответственность за нарушение
Раздел фиксирует:
- Виды нарушений (передача пароля, использование простого пароля, запись на бумаге)
- Меры ответственности (предупреждение, выговор, увольнение)
- Порядок расследования инцидентов, связанных с компрометацией паролей
- Обязанность сотрудника немедленно сообщить о подозрении на компрометацию
Параметры парольной политики по классам защищённости
Конкретные параметры определяются классом защищённости ГИС (Приказ №117), уровнем защищённости ИСПДн (Приказ №21) или категорией значимости КИИ (Приказ №239). Используйте сводную таблицу из раздела выше для определения параметров вашей системы. Ниже — ключевые ориентиры для настройки.
Минимальные параметры для типовых сценариев:
- ГИС 3-го класса / ИСПДн УЗ-3 — длина 8 символов, буквы + цифры, смена 90-180 дней, блокировка после 10 попыток
- ГИС 2-го класса / КИИ кат. 3 — длина 8 символов, регистры + цифры + спецсимволы, смена 90 дней, блокировка после 7 попыток, МФА рекомендуется
- ГИС 1-го класса / КИИ кат. 1-2 / ИСПДн УЗ-1 — длина 12 символов, максимальная сложность, смена 60 дней, блокировка после 5 попыток, МФА обязательна, история 12 паролей
Настройка парольной политики в Active Directory
GPO: минимальные параметры по требованиям ФСТЭК
Парольная политика на бумаге бесполезна без технической реализации. В среде Microsoft Active Directory параметры задаются через Group Policy Object (GPO).
Путь: Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy
| Параметр GPO | Значение (ГИС 2 класса) |
|---|---|
| Enforce password history | 8 паролей |
| Maximum password age | 90 дней |
| Minimum password age | 1 день |
| Minimum password length | 8 символов |
| Password must meet complexity requirements | Enabled |
| Store passwords using reversible encryption | Disabled |
Путь: Account Policies > Account Lockout Policy
| Параметр GPO | Значение |
|---|---|
| Account lockout threshold | 7 неудачных попыток |
| Account lockout duration | 30 минут |
| Reset account lockout counter after | 30 минут |
Fine-Grained Password Policies для привилегированных УЗ
Стандартная доменная политика паролей применяется ко всем пользователям одинаково. Для привилегированных УЗ необходимы усиленные требования через Fine-Grained Password Policies (FGPP):
- Создайте Password Settings Object (PSO) для группы администраторов
- Установите минимальную длину 12 символов
- Установите период смены 60 дней
- Установите блокировку после 5 попыток
- Установите историю 12 паролей
- Примените PSO к группе Domain Admins и другим привилегированным группам
Типичные ошибки настройки
Ошибка 1: политика не применена. Документ утверждён, но GPO не настроена. Пользователи ставят пароль «123456» и никто не контролирует.
Ошибка 2: одна политика на всех. Администраторы и обычные пользователи подчиняются одним правилам. Привилегированные УЗ должны иметь усиленные требования.
Ошибка 3: слишком частая смена. Смена каждые 30 дней приводит к тому, что пользователи записывают пароли на стикерах или используют предсказуемые шаблоны (Password1!, Password2!, Password3!).
Ошибка 4: нет блокировки. Без ограничения количества попыток входа система уязвима к brute-force-атакам.
Ошибка 5: забытые сервисные УЗ. Пароль сервисной учётной записи SQL-сервера не менялся 5 лет, его знают три уволившихся сотрудника.
Многофакторная аутентификация: когда обязательна
Требования регуляторов к МФА
Многофакторная аутентификация (МФА) — использование двух или более факторов аутентификации из разных категорий:
- Знание — пароль, PIN-код
- Владение — токен, смартфон, смарт-карта
- Биометрия — отпечаток пальца, распознавание лица
МФА обязательна по требованиям ФСТЭК для:
- ГИС 1-го и 2-го классов защищённости (Приказ №117, мера ИАФ.1)
- ИСПДн 1-го уровня защищённости (Приказ №21)
- Значимых объектов КИИ 1-й и 2-й категорий (Приказ №239)
- Удалённого доступа к любым защищаемым системам
Варианты второго фактора
| Тип фактора | Уровень безопасности | Стоимость | Удобство |
|---|---|---|---|
| Аппаратный токен (Рутокен, YubiKey) | Высокий | 1500-5000 руб./шт. | Среднее |
| Программный OTP (Google Auth) | Средний | Бесплатно | Высокое |
| Push-уведомление | Средний | По подписке | Высокое |
| SMS-код | Низкий (уязвим к SS7) | По тарифу | Высокое |
| Смарт-карта | Высокий | 2000-8000 руб./шт. | Низкое |
Для систем с высоким классом защищённости ФСТЭК рекомендует аппаратные токены, сертифицированные ФСБ.
Особенности МФА для удалённого доступа
При организации удалённого доступа (VPN, RDP, VDI) МФА обязательна вне зависимости от класса системы — это базовая мера, рекомендованная ФСТЭК и закреплённая в ГОСТ Р 57580.1. Рекомендуемая конфигурация: VPN — сертификат на токене + пароль; RDP через шлюз — пароль + OTP; веб-приложения — пароль + push-уведомление; административный доступ — сертификат + пароль + одобрение второго администратора (PAM).
Шаблон парольной политики ИБ
Адаптация шаблона под свою организацию
При разработке парольной политики на основе шаблона необходимо адаптировать:
- Область применения — перечислить конкретные информационные системы организации
- Параметры — установить значения в соответствии с классом / уровнем защищённости ваших систем (см. таблицы выше)
- Роли — указать конкретные должности (администратор ИБ, системный администратор, руководитель ИТ)
- Ответственность — привести в соответствие с локальными нормативными актами организации
- МФА — определить список систем и ролей, для которых МФА обязательна
Структура оглавления шаблона:
- Общие положения
- Область применения
- Термины и определения
- Требования к паролям пользователей
- Требования к паролям привилегированных УЗ
- Требования к паролям сервисных УЗ
- Многофакторная аутентификация
- Хранение и передача паролей
- Порядок восстановления доступа
- Ответственность за нарушение
- Порядок пересмотра и актуализации
- Приложения (таблица параметров по системам)
Согласование и утверждение документа
Порядок ввода в действие: разработка подразделением ИБ, согласование с ИТ (техническая реализуемость), юристами (ответственность) и HR (ознакомление), утверждение руководителем, ввод приказом, ознакомление сотрудников под подпись, настройка GPO/FGPP в соответствии с утверждённым документом.
Автоматизация управления парольными политиками в SGRC
Контроль соответствия требованиям
Организация с несколькими информационными системами разных классов защищённости сталкивается с проблемой: для ГИС 1-го класса нужны одни параметры, для ИСПДн УЗ-3 — другие, для объекта КИИ — третьи. Отслеживать соответствие требованиям вручную — ресурсоёмкая задача.
SGRC-платформа решает эту задачу, связывая:
- Информационную систему с её классом / уровнем защищённости
- Класс с набором обязательных мер (ИАФ.1–ИАФ.6)
- Меры с конкретными параметрами парольной политики
- Параметры с фактическими настройками (данные из AD через интеграцию)
Версионирование и актуализация документов
Парольная политика — живой документ, который пересматривается при изменении нормативных требований, ИТ-инфраструктуры, по результатам инцидентов и аудитов. Модуль документов ИБ в КиберОснова обеспечивает автоматическое версионирование, уведомления о пересмотре, контроль ознакомления сотрудников и связь документа с мерами защиты.
Платформа КиберОснова позволяет управлять парольной политикой и всем комплектом ОРД в едином интерфейсе: создание по шаблонам ФСТЭК, согласование через workflow, автоуведомления при изменении нормативной базы и формирование отчёта о полноте ОРД для аудита.
Заключение
Парольная политика — не формальность, а рабочий документ, определяющий параметры одного из базовых механизмов защиты. Ключевое правило: документ должен соответствовать и требованиям регулятора (ФСТЭК, ГОСТ), и реальным техническим настройкам (GPO, LDAP). Парольная политика на бумаге без настроенной GPO бесполезна. Настроенная GPO без утверждённого документа — нарушение при проверке.
Ключевые рекомендации:
- Определите параметры в соответствии с классом / уровнем защищённости каждой системы
- Разделяйте требования для обычных, привилегированных и сервисных учётных записей
- Обеспечьте техническую реализацию через GPO и FGPP — документ без принудительного исполнения не работает
- Внедрите МФА как минимум для удалённого доступа и привилегированных УЗ
- Настройте регулярный пересмотр документа и контроль соответствия
Запросите демо КиберОснова и посмотрите, как SGRC-платформа помогает разрабатывать, согласовывать и поддерживать в актуальном состоянии парольные политики и весь комплект документов ИБ.
Часто задаваемые вопросы
Какие требования ФСТЭК предъявляет к паролям?
ФСТЭК в Приказах №117, №21 и №239 устанавливает требования к идентификации и аутентификации (меры ИАФ). Минимальные требования включают: длина пароля не менее 8 символов (для систем 1-го класса — не менее 12), использование букв верхнего и нижнего регистра, цифр и спецсимволов, смена пароля не реже чем раз в 90 дней, блокировка учётной записи после 5 неудачных попыток входа, запрет использования последних 10 паролей. Конкретные параметры определяются классом защищённости информационной системы.
Что должна содержать парольная политика организации?
Парольная политика организации должна включать: область применения (на какие системы распространяется), требования к длине и сложности паролей, правила смены паролей (периодичность, запрет повторного использования), порядок хранения и передачи паролей, требования к многофакторной аутентификации, правила для сервисных и привилегированных учётных записей, ответственность за нарушение политики, порядок восстановления доступа. Документ утверждается руководителем организации и доводится до всех сотрудников под подпись.
Как часто нужно менять пароли по требованиям регуляторов?
По требованиям ФСТЭК (Приказ №117 для ГИС) пароли должны меняться не реже одного раза в 90 дней. ГОСТ Р 57580.1-2017 для финансовых организаций требует смены не реже чем раз в 90 дней для обычных пользователей и раз в 60 дней для привилегированных учётных записей. При этом NIST SP 800-63B рекомендует отказаться от периодической смены в пользу смены только при компрометации — но этот подход пока не закреплён в российских нормативных документах.
Нужна ли многофакторная аутентификация по требованиям ФСТЭК?
Многофакторная аутентификация (МФА) обязательна для ГИС 1-го и 2-го классов защищённости (Приказ ФСТЭК №117, мера ИАФ.1), для ИСПДн 1-го уровня защищённости (Приказ №21), а также для значимых объектов КИИ 1-й и 2-й категорий (Приказ №239). Для остальных систем МФА рекомендуется как лучшая практика. МФА подразумевает использование минимум двух факторов: знание (пароль), владение (токен, смартфон), биометрия.
Чем парольная политика отличается от политики управления доступом?
Парольная политика — это часть более широкой политики управления доступом. Она регламентирует исключительно вопросы создания, использования, хранения и смены паролей как одного из механизмов аутентификации. Политика управления доступом охватывает весь жизненный цикл доступа: идентификацию, аутентификацию (включая парольную), авторизацию, разграничение прав, контроль привилегий, ролевую модель, процедуры предоставления и отзыва прав. Обычно парольная политика оформляется как приложение или раздел политики управления доступом.
Какие ГОСТы регулируют требования к паролям?
Основные ГОСТы: ГОСТ Р 57580.1-2017 — устанавливает требования к защите информации финансовых организаций, включая парольную защиту; ГОСТ Р ИСО/МЭК 27001 — требует наличия политики управления доступом и аутентификации; ГОСТ Р ИСО/МЭК 27002 — содержит рекомендации по управлению паролями пользователей (раздел 9.3); ГОСТ Р 50922-2006 — определяет основные термины в области защиты информации, включая аутентификацию. Соответствие требованиям всех перечисленных стандартов автоматически контролирует SGRC-платформа.
