Skip to main content

5.17 Informacje uwierzytelniające

Cel

Zapewnienie ochrony informacji uwierzytelniających przed nieautoryzowanym dostępem oraz ich właściwe zarządzanie w celu utrzymania integralności i bezpieczeństwa systemów organizacji.

Wymagania

Organizacja powinna:

  • Stworzyć politykę zarządzania informacjami uwierzytelniającymi, obejmującą:
    • hasła użytkowników,
    • klucze kryptograficzne,
    • certyfikaty cyfrowe,
    • tokeny uwierzytelniające,
    • dane biometryczne (jeśli stosowane).
  • Wymagać stosowania silnych haseł i wdrożenia uwierzytelniania wieloskładnikowego (MFA) w systemach wymagających podwyższonego poziomu ochrony.
  • Ograniczyć przechowywanie i dostęp do informacji uwierzytelniających wyłącznie do upoważnionych podmiotów.
  • Zapewnić, że informacje uwierzytelniające są generowane, przechowywane i wymieniane w sposób bezpieczny, np. poprzez:
    • szyfrowanie haseł i kluczy,
    • polityki automatycznej rotacji haseł wrażliwych kont,
    • stosowanie menedżerów haseł dla użytkowników.

Wdrożenie

  • Organizacja powinna wdrożyć standardy dotyczące tworzenia i zarządzania hasłami, takie jak:
    • minimalna długość i złożoność haseł,
    • zakaz ponownego używania wcześniejszych haseł,
    • automatyczna blokada kont po wielu nieudanych próbach logowania.
  • Należy stosować bezpieczne mechanizmy resetowania i odzyskiwania haseł, aby zapobiec nieautoryzowanemu przejęciu konta.
  • Systemy powinny być skonfigurowane tak, aby wymuszały okresową zmianę haseł dla kont uprzywilejowanych.
  • Powinny być wdrożone zabezpieczenia przed atakami, takimi jak phishing czy brute-force, np. poprzez analizę anomalii w logowaniach.

Przegląd i aktualizacja

  • Regularnie przeglądać politykę zarządzania informacjami uwierzytelniającymi w celu dostosowania do zmieniających się zagrożeń.
  • Organizacja powinna prowadzić audyty haseł oraz monitorować bezpieczeństwo mechanizmów uwierzytelniania.
  • Wdrażać najnowsze standardy dotyczące zarządzania tożsamością i uwierzytelnianiem, zgodne z najlepszymi praktykami branżowymi.

Odpowiednie zarządzanie informacjami uwierzytelniającymi minimalizuje ryzyko nieautoryzowanego dostępu, zwiększa ochronę systemów i danych oraz wspiera zgodność z regulacjami dotyczącymi bezpieczeństwa informacji.