3. Pravidla tvorby hesla v systémech pro nakládání s utajovanými informacemi
3. Pravidla tvorby hesla v systémech pro nakládání s utajovanými informacemi
V tomto okruhu jsou popsána pravidla na vytváření hesla v systémech pro nakládání s utajovanými informacemi, jeho ochranu a zodpovědnost za jeho případné zneužití.
Pravidla pro tvorbu hesel
Pravidla pro tvorbu hesel se mohou v jednotlivých systémech pro zpracování UI lišit, konkrétní pravidla jsou definována ve směrnici pro uživatele daného systému.
K přihlášení do IS UI se používá uživatelské jméno a přístupové heslo nebo čipová karta a PIN.
Po obdržení přístupových údajů a prvním přihlášení do informačního systému je nutné změnit přístupové heslo podle následujících pravidel:
- heslo musí obsahovat minimálně 14 znaků,
- heslo musí obsahovat min. 3 typy znaků (malá písmena, velká písmena, číslice nebo speciální znaky jako je např. pomlčka, vykřičník, lomítko, …),
- heslo musí být určeno uživatelem, tzn. nelze použít heslo, které vám někdo poradí, musíte si ho „vymyslet sami“,
- heslo nesmí obsahovat přihlašovací jméno uživatele ani ve změněné formě,
- heslo nesmí být odvozeno ze žádné informace, která má vztah k uživateli (číslo vozu, telefonní číslo, osobní číslo, značka auta, jméno ulice, jména příbuzných atd.),
- heslo nesmí obsahovat často používaná slova v nezměněné formě, takováto hesla mohou být cílem tzv. slovníkového útoku,
- heslo nesmí být použito v jiném informačním systému,
- heslo nesmí být sdíleno s jiným uživatelem.
Ochrana hesel a zodpovědnost za jejich zneužití
Heslo musí být chráněno jako utajovaná informace stejného stupně utajení, pro jaký je určen informační systém. Tzn. pokud heslo používáte k přihlášení do systému, který zpracovává utajované informace stupně (D), tak i toto heslo je utajovaná informace stupně (D). Tyto hesla nelze ukládat na neutajovaných noteboocích, např. do souboru či do správce hesel (Keepass, apod.).
Heslo může být uloženo v neprůhledné zalepené obálce. Obálka musí být označena jménem oprávněného držitele a k jakému systému heslo patří. Obálka musí být uložena v úložném objektu (trezoru) příslušného stupně utajení.
Uživatel je odpovědný za jakékoli zneužití svého účtu třetí osobou, pokud prokazatelně k zneužití účtu došlo v důsledku jeho nedbalosti, anebo nedodržením ustanovení vnitřních předpisů upravujících bezpečnost utajovaných informací.