Gebruikersaccounts- en wachtwoord management beleid. v1.4

Transcriptie

1 Gebruikersaccounts- en wachtwoord management beleid v1.4 Auteurs: Jan van Tiggelen;Martijn Mol / Martijn Mol Aanmaak datum: 11 november 2015 Laatste wijziging: 26 oktober 2016

2 Versiebeheer Versie Datum Auteur Status/Wijzigingen /02/13 Jan van Tiggelen Aanvullingen /02/13 Martijn Mol Kleine tekstuele aanpassingen /03/13 Jan van Tiggelen Concept /03/13 Martijn Mol Voorblad aangepast /03/13 Martijn Mol Toevoeging SSO en centrale authenticatie voorziening + SNMP defaults wijzigen /03/13 Martijn Mol Ter goedkeuring in de Taakgroep IB. Kleine aanpassingen /04/13 Martijn Mol Mapping met normenkader weggelaten (apart document). Handhaving en controle toegevoegd. Publicatie en communicatie toegevoegd. Best practices toegevoegd voor gebruikers Kopje Richtlijnen veranderd in Wachtwoordeisen Kopje Beschermingsbeleid weggelaten en dit verwerkt onder de kop regels /04/13 Martijn Mol Kleine aanpassingen na behandeling in teammanagers overleg /04/13 Martijn Mol Kleine Aanpassingen na MT POI /04/13 Martijn Mol Nummering aangepast bij wachtwoordbeleid (8 was weggevallen) /10/15 Marius van Oers Kleine tekstuele aanpassingen, feedback van Erik & Harvey verwerkt /11/15 Rob Bots Besproken in taakgroep Informatiebeveiliging en gezien beperkte aard van wijzigingen vastgesteld door Security Officer Dit beleid is op dd 11/11/2015 vastgesteld in het MT POI / Security Officer voor een periode van 2 jaar. Bestandsnaam: Wachtwoordbeleid v140 Pagina 2 van 9

3 Inleiding Doel Dit beleid en de bijbehorende normen en richtlijnen hebben als doel om de minimale eisen ten aanzien van gebruikersnamen en wachtwoorden vast te leggen en dit zodanig consequent door te voeren in gehele organisatie zodat informatiebeveiliging risico s worden beperkt. Een effectief beheer van toegang tot informatie vereist unieke gebruikersaccounts en sterke wachtwoorden tot systemen en applicaties. Dit omvat ook het beveiligen van wachtwoorden en het periodiek wijzigen daarvan. Scope Dit beleid is van toepassing op alle gebruikers van diensten en IT componenten waar de gemeente Tilburg eigenaar van is en/of beheer doet. Publicatie en communicatie Dit beleid is evenals gerelateerde documenten, te raadplegen op het intranet (Binnenweb) van de gemeente Tilburg. De policy is van kracht vanaf het moment van vaststelling in het MT POI en communicatie via Binnenweb. Dit document dient minimaal 1x per twee jaar te worden geëvalueerd, bijgesteld (indien nodig) en opnieuw te worden vastgesteld in het MT POI. Gerelateerde documenten Versie Titel 1.0 Gemeente Tilburg Informatiebeveiligingsbeleid Bestandsnaam: Wachtwoordbeleid v140 Pagina 3 van 9

4 Rollen en verantwoordelijkheden Alle eigenaren van een gebruikers account - dat toegang geeft tot informatie - zijn zelf verantwoordelijk voor alle acties die er met dit account geiniteerd worden. De diverse beheerders van systemen of applicaties zijn verantwoordelijk om de gebruikers van hun IT middelen attent te maken op het goed gebruik van accounts en wachtwoorden, de verantwoordelijkheden die daarbij horen en monitoren dat hieraan voldaan wordt. Afdeling PO&I adviseert de directie, afdelingen en het college inzake beveiliging, formuleert het beveiligingsbeleid, bewaakt de stuurcyclus en treedt op als opdrachtgever van controle programma's. Hiertoe is binnen de afdeling PO&I de strategisch adviseur informatisering aangewezen als Security officer. TBPOI-ID en -SO is verantwoordelijk voor het opstellen en laten accorderen van het beleid. De Security Coördinator voert (steeksproef gewijs) lijncontroles uit op naleving en werking van de technische uitwerkingen. Alle teamleiders zien toe op het naleven van de beleidsregels en zijn mede verantwoordelijk voor het uitdragen van het opgestelde beleid. Bij het niet naleven van de afspraken neemt de teamleider passende maatregelen In de toekomst zullen er naar verwachting ook andere manieren van identificatie/authenticatie in gebruik worden genomen. Te denken valt hierbij aan bijvoorbeeld het gebruik van certificaten alsmede biometrische identificatie (vingerafdruk/gezichtsherkenning). De wijze van authenticatie voor toegang tot zakelijke data (username/wachtwoord en additionele authenticatie/sms/token/certificaat/biometrisch) - en aan welke specificaties dit moet voldoen - wordt bepaald door de security officer.. Handhaving en controle De toegangsbeveiliging met bijbehorende maatregelen is onderhevig aan periodieke security-checks, uit te voeren op gezag van de Security Officer. Door de coördinator Informatiebeveiliging wordt een registratie bijgehouden van situaties en toepassingen waarin tijdelijk of permanent van de policy afgeweken mag worden, en in welke mate. Zonder nadere aankondiging kunnen vanuit de beveiligingsorganisatie audits uitgevoerd worden op de kwaliteit van wachtwoorden (bijvoorbeeld door middel van kraakpogingen of het uitproberen van voor de hand liggende tekencombinaties). Bestandsnaam: Wachtwoordbeleid v140 Pagina 4 van 9

5 Regels No. Doel Regels 1 Beheersen van het delen van wachtwoorden en account informatie Een account bestaande uit gebruikersnaam/wachtwoord is strikt persoonlijk en mag dus niet gedeeld worden. Wanneer een medewerker vertrekt wordt zijn/haar account opgeheven. Voor een nieuwe medewerker wordt een nieuw account gemaakt. Het hergebruik van useraccounts voor nieuwe collega's is dus niet toegestaan. Het gebruik van generieke accounts is in principe niet toegestaan. Uitzonderingen op deze regel mogen alleen onder de volgende omstandigheden en met goedkeuring van de Security Officer worden toegestaan: A. Als het niet mogelijk is om meerdere accounts aan te maken met dezelfde privileges mag het account onder de volgende voorwaarden worden gedeeld: Het UserID moet een duidelijke verantwoordelijke hebben; Er moet een mechanisme opgezet zijn waardoor de verantwoordelijke functionaris opmerkzaam gemaakt wordt op gebruik van het bewuste account en het moet mogelijk zijn te achterhalen wie op welk tijdstip dit account heeft gebruikt. B. In geval van nood en/of het gebruik van een gedeeld User account de enige toepasbare mogelijkheid is, mag een gedeeld (shared) account gebruikt worden mits achterhaald kan worden wie dit account heeft gebruikt. 2 Verbreken van inactieve sessies om ongeautoriseerd toegang te voorkomen 3 Beschermen van de vertrouwelijkheid van het wachtwoord C. Voor beheerstaken met admin rechten en mogelijk grote risico's dient dit volgens het 4 ogen principe te gaan. Gebruikersaccounts die toegang geven tot systemen waar vertrouwelijke informatie op staat moeten een automatische functie hebben dat de sessie na een ingestelde tijd wordt verbroken. Het is acceptabel wanneer er voor een alternatief wordt gekozen mits deze gedocumenteerd wordt. A. Wachtwoorden mogen alleen in het uitzonderingsgeval van No. 1 met anderen worden gedeeld. B. Het toewijzen en distribueren van wachtwoorden moet op een veilige manier gebeuren C. Wachtwoorden mogen niet opgeschreven worden. D. Opgeslagen wachtwoorden zijn met een onomkeerbare codering/encryptie opgeslagen of op een andere wijze veiliggesteld E. De functie "wachtwoorden onthouden" in bijvoorbeeld Internet Explorer en Firefox dient niet gebruikt te worden F. Wachtwoorden mogen niet worden opgenomen in Bestandsnaam: Wachtwoordbeleid v140 Pagina 5 van 9

6 No. Doel Regels onbeveiligde berichten of andere vormen van onbeveiligde communicatie; G. Dwingende redenen voor tussentijdse wijziging van rechten of wachtwoorden zijn - beëindiging of verandering van functie, - (vermoedens van) compromittering door malware of inbraak, - (vermoedelijke) inbreuken op policy's betreffende informatiebeveiliging H. Het aantal wachtwoorden dat een gebruiker moet onthouden dient beperkt te worden door gebruik te maken van centrale authenticatie voorzieningen (LDAP/Active Directory/ADFS) en/of Single Sign On (SSO) 4 Het voorkomen van ongeautoriseerde toegang. 5 Het voorkomen van verlies van bedrijfsinformatie of het niet beschikbaar zijn van kritieke diensten A. Inactieve accounts moeten automatisch of handmatig worden beëindigd. B. Wachtwoorden moeten een beperkte levensduur hebben. C. Accounts met een verhoogde rechten (beheerders) moeten bij remote access gebruikmaken van z.g. "two factor authentication". D. Alle gebruikers van applicaties of systemen moeten gebruikmaken van een uniek UserID en wachtwoord of andere identificerende authenticatie methodes om toegang te krijgen tot systemen om deze te beschermen tegen ongeautoriseerd gebruik E. Het aanmaken/verwijderen van en verlenen/intrekken van autorisatie voor deze gebruikersaccounts mag alleen via het formeel vastgestelde proces en haar subprocessen verlopen. F. Zodra het vertrouwelijke karakter van het wachtwoord betwijfeld wordt moet de eigenaar van het bijbehorende account het wachtwoord onmiddellijk wijzigen of moet het account disabled worden. G. Speciale bevoegdheden moeten worden beperkt en beheerst. H. Een beheerdersaccount wordt uitsluitend gebruikt door een functionaris in zijn rol als beheerder I. 2-voudige authenticatie (zoals bijvoorbeeld voor ontsluiting van zakelijke data via remote sessies en/of mobiele devices) dient ondersteund te worden. Wanneer bij het vergeten van een wachtwoord onomkeerbaar verlies van bedrijfsinformatie optreedt, moet een noodoplossing voorhanden zijn, bijvoorbeeld een notitie op een fysiek beveiligde plaats Bestandsnaam: Wachtwoordbeleid v140 Pagina 6 van 9

7 Wachtwoordeisen No. Doel Implementatierichtlijnen 1 Beschermen initiële gebruikers accounts en wachtwoordeigenaarschap Alle initiële wachtwoorden van gebruikers zijn uniek en vereisen dat de gebruiker deze moet wijzigen na de 1x inloggen 2 Voorkomen van zwakke wachtwoorden Wachtwoorden van gebruikers moeten minimaal uit 7 karakters bestaan en voldoen aan de volgende complexiteitseisen: minstens één hoofdletter minstens één kleine letter minstens één cijfer of leesteken in voorkomen Het wachtwoord mag niet bevatten: De gebruikers account naam Niet meer dan 2 opeenvolgende karakters van de volledige naam van de gebruiker 3 Maximale leeftijd van wachtwoorden Gebruikerswachtwoorden moeten binnen 90 dagen worden gewijzigd 4 Voorkomen van meekijken Het laatst gebruikte account mag in een inlogscherm niet zichtbaar zijn 5 Implementeer technische maatregelen om Het gebruik van tooling die de wachtwoord complexiteit en kwaliteit controleren is aanbevolen wachtwoordeisen af te dwingen 6 Toepassen functiescheiding Beheerders van kritieke applicaties moeten een apart beheeraccount gebruiken voor beheerswerkzaamheden 7 Definiëren van additionele Voor Administrator- en beheeraccounts geldt: maatregelen voor accounts met verhoogde rechten wachtwoorden moeten minimaal 8 karakters lang zijn Elke 42 dagen worden gewijzigd Uniek wachtwoord hebben, dat anders is dan het wachtwoord van het gebruikersaccount Bij uit dienst of doorstroming naar een andere functie te worden disabled. 8 Wachtwoord hergebruik voorkomen Voor systeem/service accounts geldt specifiek: Wachtwoorden moeten minimaal 8 karakters lang zijn Duidelijk herkenbare accountnaam Service (deamon) Accounts mogen niet interactief kunnen aanloggen. Wachtwoorden mogen maximaal 182 dagen (26 weken) oud zijn. Doel van dit serviceaccount en bijbehorende eigenaar van het account dienen te worden vastgelegd. Om hergebruik van een wachtwoord te voorkomen moet een cyclus van 12 unieke wachtwoorden worden ingesteld en mag het wachtwoord pas als het minimaal twee dagen (48 uur) vervangen worden. Bij voorkeur wordt dit technisch afgedwongen Bestandsnaam: Wachtwoordbeleid v140 Pagina 7 van 9

8 No. Doel Implementatierichtlijnen 9 Voorkomen van herhaalde login pogingen om het wachtwoord Na vijf foutieve inlog pogingen moet de toegang geweigerd worden (lockout) te raden 10 Voorkomen van Denial of Lockout moet minimaal 15 minuten duren. Service aanvallen door lockout Een automatische reset mag pas na 15 minuten. van accounts Een handmatige reset mag direct mits de persoon zich duidelijk kan identificeren 11 Verantwoordelijkheden applicatiebeheerders 12 Voorkom ongeautoriseerde wachtwoordwijzigingen 13 Standaard netwerkwachtwoord wijzigen Applicatiebeheerders zijn verantwoordelijk om het wachtwoordbeleid in de desbetreffende applicatie te implementeren Wachtwoord wijzigingsprocedures zouden moeten eisen dat de gebruiker zich eerst aanmeldt A. Wanneer SNMP wordt gebruikt dan dienen de standaarden "public", "private" en "system" veranderd te worden. Een versleutelde hash moet gebruikt worden wanneer dit mogelijk is (bijv. SNMPv2) B. Systeemwachtwoorden die onderdeel uitmaken van de fabrieksdefaults in systemen of applicaties, worden vóór acceptatie gewijzigd; ze mogen niet gelijk zijn aan een beheerders- of gebruikerswachtwoord (bijv. root, system, administrator). Bestandsnaam: Wachtwoordbeleid v140 Pagina 8 van 9

9 Best practices Vermijd het gebruik van hetzelfde wachtwoord voor werk en privé; Beschouw alle wachtwoorden als gevoelige informatie, en deel ze niet met de accounts van collega's, familieleden of andere relaties; Maak wachtwoorden niet bekend aan collega's, chef, of andere relaties, ook niet ter gelegenheid van verlof of ziekte; Noem geen wachtwoord in het publiek, per telefoon of via onversleutelde communicatie; Noteer nooit een wachtwoord op een vrij toegankelijke plaats; Geef geen hints af over het ezelsbruggetje om je wachtwoord te onthouden; Geef nooit informatie over een wachtwoord in enquêtes of beveiligingsformulieren; Als er een vermoeden is van misbruik, meld dat dan aan bij het servicepunt en wijzig direct alle betrokken wachtwoorden; Als iemand een wachtwoord wil weten, verwijs hem dan naar deze policy. Bestandsnaam: Wachtwoordbeleid v140 Pagina 9 van 9