15. Permessi
15.1. Classificazione delle informazioni
Per uso interno
Consultazione
Inserimento
Modifica
Riservate Le informazioni personali trattate sono veicoli posseduti sanzioni CdS e extra CdS.
Consultazione
Inserimento
Modifica
Strettamente Riservate Le informazioni personali trattate sono: dati anagrafiche.
Consultazione
Inserimento
Modifica
15.2. Password policy
Questa politica è stata definita per proteggere le risorse organizzative della rete mediante la richiesta di password complesse unitamente alla protezione di queste password e nello stabilire un tempo minimo tra le modifiche delle password.
Protezione della Password
Non annotare mai la password.
Non inviare mai una password tramite e-mail.
Non includere una password documento archiviato non-crittografato
Non dire mai a nessuno la tua password.
Non rivelare la tua password al telefono.
Non accennare mai al formato della password.
Non rivelare o suggerire la tua password in un modulo in internet.
Non utilizzare mai l’opzione “ricorda password “, di programmi come internet Explorer, di posta elettronica, o qualsiasi altro programma.
Non utilizzare mai la password aziendale o di rete per un account internet, che non dispone di un accesso protetto (dove l’indirizzo browser web inizia con https:// invece di http:/)
Segnalare eventuali sospetti concernenti la sicurezza della password al reparto/incaricato della sicurezza it.
Se qualcuno ti chiede la password, indirizzali al reparto/incaricato di sicurezza it.
Non usare acronimi comuni come parte della password.
Non usare parole comuni o invertire l’ortografia delle parole come parte della password.
Non utilizzare nomi di persone o luoghi, come parte della password.
Non utilizzare una parte del tuo nome utente per la tua password.
Non utilizzare parti di numeri facili da ricordare, come numeri di telefono, numeri di indirizzo o altro di similare .
Stare attenti a lasciare che qualcuno veda la digitazione della password.
15.3. Requisiti di Password
I seguenti requisiti di password verranno impostati dal reparto/incaricato di sicurezza IT:
Lunghezza Minima à 8 caratteri raccomandato
Lunghezza Massima à 14 caratteri
Minimo livello di complessità à Nessuna parola del dizionario. Ciascuna password deve includere tre o quattro dei seguenti tipi di caratteri:
Minuscole
Maiuscole
Numeri
caratteri Speciali, ad esempio !@#$%^&*(){}[]
le Password differenziano tra maiuscole e minuscole, mentre il nome utente o l’ID di accesso no.
Ripetizione Password à numero min. di password prima che una vecchia password possa essere riutilizzata: questo numero non deve essere inferiore a 24.
Validità Massima password à 90 giorni
Validità Minima password à 2 giorni
Memorizzare le password tramite crittografia reversibile à Questo non dovrebbe essere fatto senza una speciale autorizzazione da parte del reparto/incaricato IT, dato che ne ridurrebbe il livello di protezione.
Soglia di blocco degli Account à 4 tentativi di login falliti
Reset blocco account à Il tempo che intercorre tra tentativi di accesso non valido e la possibilità di ritentare: il valore raccomandato è di 20 minuti. Questo significa che se ci sono tre tentativi non validi in 20 minuti, l’account verrà bloccato.
Account durata di blocco à Alcuni esperti raccomandano che il blocco dell’account sia compreso tra 30 minuti e 2 ore.
Uno Screen saver protetto da Password dovrebbe essere attivato e dovrebbe proteggere il computer entro 5 minuti di inattività dell’utente. Il computer non dovrebbe essere lasciato incustodito mentre è connesso (logged-on) e senza aver attivato uno screen saver protetto da password. Gli utenti dovrebbero avere l’abitudine di non lasciare i loro computer sbloccati; per facilitarne il compito si può impostare una combinazione rapida di tasti (es. CTRL-ALT-CANC e selezionare “Blocca Computer “).
Le regole che si applicano per le password, sono applicate anche alle frasi che vengono utilizzate per l’autenticazione della chiave pubblica/privata