Banklarda istifadə olunan parollarla bağlı qayda məlum oldu

Azərbaycanda banklarında girişlərə nəzarətlə bağlı qayda məlum oldu.

ENA.az xəbər verir ki, Azərbaycan Mərkəzi Bankının sədri Elman Rüstəmov “Banklarda informasiya təhlükəsizliyinin idarə edilməsi Qaydası”nın təsdiq edilməsi barədə qərar qəbul edilib.

Həmin hissədə qeyd edilir:

7.1. İnformasiya və informasiyanın işlənməsi vasitələrinə girişlərin məhdudlaşdırılması məqsədilə aşağıdakı tədbirlər həyata keçirilir:

7.1.1. girişlərə nəzarət siyasəti biznes və informasiya təhlükəsizliyi tələbləri nəzərə alınmaqla formalaşdırılmalı, sənədləşdirilməli və aktuallığı təmin olunmalıdır;

7.1.2. istifadəçilər yalnız xüsusi olaraq istifadə etmək səlahiyyətinə malik olduqları şəbəkə və şəbəkə xidmətlərinə girişlə təmin edilməlidir.

7.2. İnformasiya sistemlərinə sanksiya edilmiş istifadəçinin girişini təmin etmək məqsədilə aşağıdakı tədbirlər həyata keçirilir:

7.2.1. giriş hüquqlarının təyin edilməsini təmin etmək üçün istifadəçi qeydiyyatı və qeydiyyatdan çıxarma prosesi rəsmiləşdirilməli və tətbiq edilməlidir;

7.2.2. istifadəçi səlahiyyətlərinə müvafiq olaraq bütün sistem və xidmətlərə giriş hüquqlarının təyin edilməsi və ya ləğv edilməsi üzrə proseslər müəyyən edilməli, rəsmiləşdirilməli və tətbiq edilməlidir;

7.2.3. imtiyazlı giriş hüquqlarının bölüşdürülməsi və istifadəsi məhdudlaşdırılmalı və idarə olunmalıdır;

7.2.4. məxfi autentifikasiya məlumatlarının (parol, bir neçə faktorlu eyniləşdirmə məlumatı, elektron imza, biometrik məlumat və sair) ötürülməsi prosesi müəyyən edilməli, rəsmiləşdirilməli və tətbiq edilməlidir.

7.2.5. aktiv sahibləri istifadəçilərin giriş hüquqlarını davamlı olaraq nəzərdən keçirməlidir;

7.2.6. işçilərlə əmək, kontragentlərlə müqavilə münasibətlərinə xitam verildikdə və ya dəyişdirildikdə onların informasiya və informasiyanın işlənməsi vasitələrinə giriş hüquqları dərhal ləğv edilməli və ya düzəlişə uyğunlaşdırılmalıdır.

7.3. İstifadəçiləri özlərinin məxfi autentifikasiya məlumatlarını qorumağa cavabdeh etmək məqsədilə bank tərəfindən müəyyən edilən qaydalara riayət etmələri tələb olunmalı və nəzarəti təmin edilməlidir.

7.4. İnformasiya sistemi və tətbiqi-proqram təminatlarına icazəsiz girişlərin qarşısını almaq məqsədilə aşağıdakı tədbirlər həyata keçirilir:

7.4.1. girişlərə nəzarət siyasətinə uyğun olaraq informasiya sistemi və tətbiqi-proqram təminatlarına girişlər məhdudlaşdırılmalıdır;

7.4.2. girişlərə nəzarət siyasətinə müvafiq olaraq informasiya sistemi və tətbiqi-proqram təminatlarına giriş ən azı aşağıdakı təhlükəsiz daxil olma proseduru ilə idarə edilməlidir:

7.4.2.1. “brute-force”* hücumdan qorunma metodları tətbiq edilməlidir;

7.4.2.2. uğursuz və uğurlu cəhdlərin loqlanması aparılmalıdır;

7.4.2.3. uğurlu giriş tamamlandıqdan sonra aşağıdakı məlumatların göstərilməsi təmin olunmalıdır:

7.4.2.3.1. əvvəlki uğurlu girişin tarixi və saatı;

7.4.2.3.2. son uğurlu girişdən sonra baş verən uğursuz giriş cəhdlərinin təfərrüatları.

7.4.2.4. daxil edilən parol göstərilməməlidir;

7.4.2.5. parollar şəbəkə üzərindən açıq mətn formasında ötürülməməlidir;

7.4.2.6. müəyyən edilmiş müddət ərzində heç bir fəaliyyət olmadığı təqdirdə sistemlə qurulmuş əlaqələrin başa çatdırılması təmin edilməlidir;

7.4.3. Parolların idarə edilməsi sistemində parolların mürəkkəbliyi aşağıdakı şəkildə təmin edilməlidir:

7.4.3.1. istifadəçilər üçün parol uzunluğu minimum 8 (səkkiz) simvol olmalıdır;

7.4.3.2. imtiyazlı giriş hüquqlu istifadəçilər üçün parol uzunluğu minimum 12 (on iki) simvol olmalıdır;

7.4.3.3. parol aşağıdakılardan ən azı üçünün birləşməsindən ibarət olmalıdır:

7.4.3.3.1. ən azı bir kiçik hərf (a-z);

7.4.3.3.2. ən azı bir böyük hərf (A-Z);

7.4.3.3.3. ən azı bir rəqəm (0-9);

7.4.3.3.4. ən azı bir xüsusi simvol (məsələn, @ # $% ^ & * () _ + | ~ – = `{} []:”; ‘<> /).

7.4.3.4. parollarda istifadəçi identifikatorlarından istifadə olunmamalıdır;

7.4.3.5. parollarda ardıcıl olaraq ikidən çox eyni simvoldan istifadə oluna bilməz;

7.4.3.6. sistemə ilk giriş zamanı və ya parolun sistem inzibatçısı tərəfindən yenilənməsindən sonra informasiya sistemi istifadəçidən parolun yenilənməsini tələb etməli və tələbin inkar edilməsinə imkan verməməlidir;

7.4.3.7. parolun ən çoxu 6 (altı) dəfə səhv yığılması cəhdlərindən sonra sistemə giriş məhdudlaşdırılmalıdır;

7.4.3.8. parolların qüvvədə olma müddəti ən çoxu 90 (doxsan) gün olmalıdır. Parolun qüvvədə olması müddətinin bitməsi ilə bağlı istifadəçiyə müvafiq məlumatlandırma göndərilməlidir;

7.4.3.9. sistemdə istifadə olunmuş son 12 (on iki) parolun təkrar istifadəsinin qarşısı alınmalıdır;

7.4.3.10. standart (susmaya görə) istifadəçi hesablarının parolları ildə bir dəfədən az olmayaraq dəyişdirilməlidir;

7.4.3.11. istifadəçi parolları sistem inzibatçılarına açıq olmamalıdır;

7.4.3.12. 90 (doxsan) gündən artıq istifadə edilməyən bütün istifadəçi hesabları blok edilməlidir;

7.4.4. sistem və tətbiqi-proqram təminatının mənbə kodlarına giriş hüquqları məhdudlaşdırılmalıdır.

*“brute-force” hücum – ədədi və ya simvol-rəqəm parolların çoxsaylı kombinasiyalarını sınamaqla giriş əldə etmək metodu